Amazon Macie を Google SecOps と統合する
このドキュメントでは、Amazon Macie を Google Security Operations(Google SecOps)と統合する方法について説明します。
統合バージョン: 7.0
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | なし | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | なし | いいえ | インスタンスの説明。 |
| AWS アクセスキー ID | 文字列 | なし | ○ | 統合で使用する AWS アクセスキー ID。 |
| AWS シークレット キー | パスワード | なし | ○ | 統合で使用する AWS 秘密鍵。 |
| AWS のデフォルト リージョン | 文字列 | なし | ○ | 統合で使用する AWS のデフォルト リージョン(例: us-west-1)。 |
| リモートで実行 | チェックボックス | オフ | いいえ | 構成した統合をリモートで実行するには、チェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。
必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの方法については、複数のインスタンスのサポートをご覧ください。
操作
アクションの詳細については、 デスクから保留中のアクションに対応すると手動アクションを実行するをご覧ください。
Ping
接続をテストする。
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合:「指定された接続パラメータを使用して Amazon Macie サービスに正常に接続されました。」 アクションが失敗し、ハンドブックの実行が停止します。 認証情報の誤りや接続の切断などの重大なエラーが報告された場合:「Amazon Macie サービスへの接続に失敗しました。エラーは {0}」.format(exception.stacktrace) |
一般 |
検出の一覧表示
指定されたアクション入力パラメータに基づいて Amazon Macie の検出結果を一覧表示します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 知見のタイプ | 文字列 | なし | いいえ | 検索する検出結果のタイプ(例: SensitiveData:S3Object/Credentials、SensitiveData:S3Object/Multiple)。 このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 何も指定しないと、すべてのタイプの検出結果が返されます。 |
| 重大度 | 文字列 | 4 | いいえ | 検索する検出結果の重要度 - 高、中、低。 このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 何も指定しないと、重大度に関係なく、すべての検出結果が返されます。 |
| アーカイブされた検出結果を含めますか? | チェックボックス | オフ | いいえ | アーカイブされた検出結果を結果に含めるかどうかを指定します。 |
| 期間 | 整数 | 4 | いいえ | 検出結果を取得する期間を時間で指定します。 |
| レコードの上限 | 整数 | 20 | いいえ | アクションで返されるレコード数を指定します。 |
| 並べ替え | 文字列 | なし | いいえ | データを並べ替えるパラメータを指定します。 例: updatedAt |
| 並べ替え順 | DDL | 昇順 | いいえ | 並べ替え順序。 |
ユースケース
Amazon Macie の検出結果を一覧表示して、利用可能な検出結果を確認します。
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
JSON の結果
{
"ResponseMetadata":{
"HTTPHeaders":{
"connection":"keep-alive",
"content-length":"2741",
"content-type":"application/json",
"date":"Thu, 22 Oct 2020 11:08:58 GMT",
"x-amz-apigw-id":"ID",
"x-amzn-remapped-content-length":"2741",
"x-amzn-remapped-date":"Thu, 22 Oct ""2020 11:08:57 ""GMT",
"x-amzn-remapped-x-amzn-requestid":"eaea00d2-11f8-40d8-adce-f6c9f17e9815",
"x-amzn-requestid":"4102349a-a5da-4bfc-ad78-40f48885985f"
},
"HTTPStatusCode":200,
"RequestId":"4102349a-a5da-4bfc-ad78-40f48885985f",
"RetryAttempts":0
},
"findings":[
{
"accountId":"ACCOUNT_ID",
"archived":false,
"category":"CLASSIFICATION",
"classificationDetails":{
"detailedResultsLocation":"s3://[export-config-not-set]/AWSLogs/ACCOUNT_ID/Macie/us-east-1/",
"jobArn":"arn:aws:macie2:us-east-1",
"jobId":"088009521d393eda440a24f3c7ad8fbd",
"result":{
"additionalOccurrences":false,
"customDataIdentifiers":{
"detections":[
],
"totalCount":0
},
"mimeType":"application/zip",
"sensitiveData":[
{
"category":"PERSONAL_INFORMATION",
"detections":[
{
"count":80,
"type":"PHONE_NUMBER"
},
{
"count":5,
"type":"ADDRESS"
},
{
"count":207,
"type":"NAME"
}
],
"totalCount":292
},
{
"category":"CREDENTIALS",
"detections":[
{
"count":5,
"type":"AWS_CREDENTIALS"
}
],
"totalCount":5
}
],
"sizeClassified":44213802,
"status":{
"code":"PARTIAL",
"reason":"ARCHIVE_CONTAINS_UNPROCESSED_FILES"
}
}
},
"count":1,
"createdAt":datetime.datetime(2020,
10,
22,
3,
12,
9,
364000,
"tzinfo=tzutc())",
"description":"The object contains more than one type of ""sensitive information.",
"id":"FINDING_ID",
"partition":"aws",
"region":"us-east-1",
"resourcesAffected":{
"s3Bucket":{
"arn":"arn:aws:s3:::testexample",
"createdAt":datetime.datetime(2020,
9,
14,
10,
31,
56,
"tzinfo=tzutc())",
"defaultServerSideEncryption":{
"encryptionType":"NONE"
},
"name":"testexample",
"owner":{
"displayName":"lab_aws",
"id":"OWNER_ID"
},
"publicAccess":{
"effectivePermission":"PUBLIC",
"permissionConfiguration":{
"accountLevelPermissions":{
"blockPublicAccess":{
"blockPublicAcls":false,
"blockPublicPolicy":false,
"ignorePublicAcls":false,
"restrictPublicBuckets":false
}
},
"bucketLevelPermissions":{
"accessControlList":{
"allowsPublicReadAccess":false,
"allowsPublicWriteAccess":false
},
"blockPublicAccess":{
"blockPublicAcls":false,
"blockPublicPolicy":false,
"ignorePublicAcls":false,
"restrictPublicBuckets":false
},
"bucketPolicy":{
"allowsPublicReadAccess":true,
"allowsPublicWriteAccess":false
}
}
}
},
"tags":[
]
},
"s3Object":{
"bucketArn":"arn:aws:s3:::testsiemplify",
"eTag":"8dfbe2ba101b3ca0a62f8fde823503b4-5",
"extension":"zip",
"key":"awscliv2.zip",
"lastModified":datetime.datetime(2020,
9,
28,
18,
47,
30,
"tzinfo=tzutc())",
"path":"testexample/awscliv2.zip",
"publicAccess":false,
"serverSideEncryption":{
"encryptionType":"NONE"
},
"size":33775890,
"storageClass":"STANDARD",
"tags":[
],
"versionId":""
}
},
"sample":false,
"schemaVersion":"1.0",
"severity":{
"description":"High",
"score":3
},
"title":"The S3 object contains multiple types of sensitive ""information.",
"type":"SensitiveData:S3Object/Multiple",
"updatedAt":datetime.datetime(2020,
10,
22,
3,
12,
9,
364000,
"tzinfo=tzutc())"
}
]
}
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合:「Amazon Macie の検出結果が見つかりました」 is_success=False の場合(たとえば、検出結果が見つからなかった):「検出結果が返されませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 認証情報の誤りや接続の切断などの重大なエラーが報告された場合:「Amazon Macie サービスへの接続に失敗しました。エラーは {0}」.format(exception.stacktrace) |
一般 |
| Table | テーブル名: Amazon Macie Findings テーブル列:
|
一般 |
検出結果の取得
指定した知見 ID に基づいて、Amazon Macie の検出結果を取得します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 知見 ID | 文字列 | なし | ○ | 詳細情報を取得する検出結果 ID。 パラメータは、カンマ区切りの文字列として複数の値を受け取ることができます。 |
ユースケース
アラートの分析中に検出結果の詳細を取得できます。この場合の検出結果は、コネクタからの検出結果のように「フラット」にはなりません。また、検出結果データの処理が容易になる場合があります。
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
JSON の結果
{
"Policy": {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AddPerm",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::testexample/*"
}
]
}
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合:「Amazon Macie の検出結果が見つかりました」 is_success=False の場合(たとえば、検出結果が見つからなかった):「検出結果が返されませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 認証情報の誤りや接続の切断などの重大なエラーが報告された場合:「Amazon Macie サービスへの接続に失敗しました。エラーは {0}」.format(exception.stacktrace) |
一般 |
| Table | テーブル名: Amazon Macie Findings テーブル列: |
一般 |
カスタムデータ識別子の作成
Amazon Macie カスタムデータ識別子を作成します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| カスタムデータ識別子の名前 | 文字列 | なし | ○ | Amazon Macie の新しいカスタムデータ識別子の名前。 |
| カスタムデータ識別子の説明 | 文字列 | なし | いいえ | Amazon Macie の新しいカスタムデータ識別子の説明。 |
| カスタムデータ識別子の正規表現 | 文字列 | なし | ○ | Amazon Macie の新しいカスタムデータ識別子の正規表現。例: I[a@]mAB[a@]dRequest |
| カスタムデータ識別子キーワード | 文字列 | なし | いいえ | Amazon Macie の新しいカスタムデータ識別子キーワード。 |
| カスタムデータ識別子で無視する単語 | 文字列 | なし | いいえ | Amazon Macie の新しいカスタムデータ識別子で単語を無視します。 |
| カスタムデータ識別子の最大一致距離 | 整数 | 50 | いいえ | Amazon Macie の新しいカスタムデータ識別子の最大一致距離。 |
ユースケース
観測データに基づいて Amazon Macie カスタムデータ識別子を作成し、後で新しいカスタムデータ識別子を分類ジョブで使用できるようにします。
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
JSON の結果
{
"ResponseMetadata":{
"HTTPHeaders":{
"connection":"keep-alive",
"content-length":"65",
"content-type":"application/json",
"date":"Mon, 26 Oct 2020 05:15:07 GMT",
"x-amz-apigw-id":"ID",
"x-amzn-remapped-content-length":"65",
"x-amzn-remapped-date":"Mon, 26 Oct ""2020 05:15:07 ""GMT",
"x-amzn-remapped-x-amzn-requestid":"61217a30-189e-4573-9f76-257b7065a04d",
"x-amzn-requestid":"509e1c12-ab86-459e-9d6d-790a359686b2"
},
"HTTPStatusCode":200,
"RequestId":"509e1c12-ab86-459e-9d6d-790a359686b2",
"RetryAttempts":0
},
"customDataIdentifierId":"ff43487b-5643-4de1-b651-9ecbeb3021ed"
}
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合:「新しい Amazon Macie カスタムデータ識別子が作成されました: {0}」.format(new identifier_id from response) is_success=False の場合(たとえば、検出結果が見つからなかった):「Amazon Macie 識別子を作成できませんでした。エラー: {0}」.format(error from response) アクションが失敗し、ハンドブックの実行が停止します。 認証情報の誤りや接続の切断などの重大なエラーが報告された場合:「Amazon Macie サービスへの接続に失敗しました。エラーは {0}」.format(exception.stacktrace) |
一般 |
カスタムデータ識別子の削除
Amazon Macie カスタムデータ識別子を削除します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| カスタムデータ識別子 ID | 文字列 | なし | いいえ | 削除する Amazon Macie カスタムデータ識別子の ID。 |
ユースケース
Amazon Macie カスタムデータ識別子を削除します。
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合:「Amazon Macie カスタムデータ識別子{0} が削除されました」.format(custom data identifier id) is_success=False の場合(たとえば、検出結果が見つからなかった):「Amazon Macie 識別子 {0} を作成できませんでした。エラー: {1}」.format(custom data identifier, id, error from response) アクションが失敗し、ハンドブックの実行が停止します。 認証情報の誤りや接続の切断などの重大なエラーが報告された場合:「Amazon Macie サービスへの接続に失敗しました。エラーは {0}」.format(exception.stacktrace) |
一般 |
Macie を有効にする
Amazon Macie サービスを有効にします。
パラメータ
なし
ユースケース
サービス ウィンドウが完了したら、Amazon Macie を有効にします。
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合:「Amazon Macie サービスは正常に有効になりました」 is_success=False の場合:「Amazon Macie サービスを有効にできませんでした。エラー: {0}」.format(error from response) アクションが失敗し、ハンドブックの実行が停止します。 認証情報の誤りや接続の切断などの重大なエラーが報告された場合:「Amazon Macie サービスへの接続に失敗しました。エラーは {0}」.format(exception.stacktrace) |
一般 |
Macie を無効にする
Amazon Macie サービスを無効にします。
ユースケース
サービス ウィンドウで Amazon Macie を無効にします。これにより、AWS バケットにいくつかの変更を加えても、偽陽性が大量に発生することはありません。
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合:「Amazon Macie サービスが正常に無効になりました」 is_success=False の場合:「Amazon Macie サービスを無効にできませんでした。エラー: {0}」.format(error from response) アクションが失敗し、ハンドブックの実行が停止します。 認証情報の誤りや接続の切断などの重大なエラーが報告された場合:「Amazon Macie サービスへの接続に失敗しました。エラーは {0}」.format(exception.stacktrace) |
一般 |
コネクタ
Google SecOps でコネクタを構成する方法について詳しくは、データを取り込む(コネクタ)をご覧ください。
Amazon Macie - 検出結果コネクタ
Amazon Macie の検出結果を取り込みます。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | なし | はい |
商品名が保存されるフィールドの名前。 商品名は主にマッピングに影響します。コネクタのマッピング プロセスを合理化して改善するため、デフォルト値はコードから参照されるフォールバック値に解決されます。このパラメータの無効な入力は、デフォルトでフォールバック値に解決されます。 デフォルト値は |
| イベント フィールド名 | 文字列 | なし | はい | イベント名(サブタイプ)を特定するフィールドの名前。 |
| 環境フィールド名 | 文字列 | なし | いいえ | 環境名が保存されるフィールドの名前。 環境フィールドがない場合、コネクタはデフォルト値を使用します。 |
Environment Regex Pattern |
文字列 | なし | いいえ |
デフォルト値 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| スクリプトのタイムアウト(秒) | 整数 | 180 | はい | 現在のスクリプトを実行する Python プロセスのタイムアウト上限(秒単位)。 |
| AWS アクセスキー ID | 文字列 | なし | True | 統合で使用する AWS アクセスキー ID。 |
| AWS シークレット キー | パスワード | なし | True | 統合で使用する AWS 秘密鍵。 |
| AWS のデフォルト リージョン | 文字列 | なし | True | 統合で使用する AWS のデフォルト リージョン(例: us-west-2)。 |
| 取り込む検出結果の重大度 | 文字列 | なし | いいえ | 取り込む検出結果の重要度 - このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 何も指定しないと、コネクタは重大度に関係なくすべての検出結果を取り込みます。 |
| 取得する最大検出結果数 | 整数 | 50 | いいえ | 1 回のコネクタのイテレーションで処理する検出結果の数。 |
| 遡る取得の最大時間数 | 整数 | 1 | いいえ | アラートを取得する現在までの時間数。 このパラメータは、コネクタを初めて有効にした後の最初のコネクタ イテレーション、または期限切れのコネクタ タイムスタンプのフォールバック値に適用できます。 |
Use whitelist as a blacklist |
チェックボックス | オフ | はい | 選択すると、コネクタは動的リストを拒否リストとして使用します。 |
| プロキシ サーバーのアドレス | 文字列 | なし | いいえ | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 文字列 | なし | いいえ | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | パスワード | なし | いいえ | 認証に使用するプロキシ パスワード。 |
コネクタ ルール
ブロックリストはデフォルトで無効になっています。
コネクタは、特定のタイプの検出結果のみを取り込む動的リストをサポートしています。
コネクタはプロキシをサポートしています。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。