Google SecOps와 Amazon Macie 통합
이 문서에서는 Amazon Macie를 Google Security Operations (Google SecOps)와 통합하는 방법을 설명합니다.
통합 버전: 7.0
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 인스턴스 이름 | 문자열 | 해당 사항 없음 | No | 통합을 구성할 인스턴스의 이름입니다. |
| 설명 | 문자열 | 해당 사항 없음 | No | 인스턴스에 대한 설명입니다. |
| AWS 액세스 키 ID | 문자열 | 해당 사항 없음 | 예 | 통합에 사용할 AWS 액세스 키 ID입니다. |
| AWS 보안 비밀 키 | 비밀번호 | 해당 사항 없음 | 예 | 통합에 사용할 AWS 보안 비밀 키입니다. |
| AWS 기본 리전 | 문자열 | 해당 사항 없음 | 예 | 통합에 사용할 AWS 기본 리전입니다(예: us-west-1). |
| 원격 실행 | 체크박스 | 선택 해제 | 아니요 | 구성된 통합을 원격으로 실행하려면 체크박스를 선택합니다. 선택하면 원격 사용자 (에이전트)를 선택하는 옵션이 나타납니다. |
Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.
필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스를 구성하고 지원하는 방법에 관한 자세한 내용은 여러 인스턴스 지원을 참고하세요.
작업
작업에 대한 자세한 내용은 내 Workdesk에서 대기 중인 작업에 응답 및 수동 작업 실행을 참고하세요.
핑
연결을 테스트합니다.
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success:False |
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우: '제공된 연결 매개변수를 사용하여 Amazon Macie 서비스에 연결되었습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보 또는 연결 손실과 같은 심각한 오류가 보고되는 경우: 'Amazon Macie 서비스에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace) |
일반 |
발견 항목 나열
지정된 작업 입력 파라미터를 기반으로 Amazon Macie 결과를 나열합니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 발견 항목 유형 | 문자열 | 해당 사항 없음 | 아니요 | 검색할 찾기 유형입니다(예: SensitiveData:S3Object/Credentials 또는 SensitiveData:S3Object/Multiple). 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. 아무것도 지정하지 않으면 작업에서 모든 유형의 발견 항목을 반환합니다. |
| 심각도 | 문자열 | 4 | 아니요 | 검색할 발견 항목 심각도(높음, 중간 또는 낮음)입니다. 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. 아무것도 지정하지 않으면 심각도와 관계없이 모든 발견 항목이 반환됩니다. |
| 보관된 발견 항목을 포함하시겠습니까? | 체크박스 | 선택 해제 | 아니요 | 보관처리된 결과를 결과에 포함할지 여부를 지정합니다. |
| 기간 | 정수 | 4 | 아니요 | 발견 항목을 가져올 기간(시간)을 지정합니다. |
| 레코드 한도 | 정수 | 20 | 아니요 | 작업에서 반환할 수 있는 레코드 수를 지정합니다. |
| 정렬 기준 | 문자열 | 해당 사항 없음 | 아니요 | 데이터 정렬을 위한 매개변수를 지정합니다. 예: updatedAt |
| 정렬 순서 | DDL | ASC | 아니요 | 정렬 순서입니다. |
사용 사례
Amazon Macie 발견 항목을 나열하여 사용 가능한 발견 항목을 확인합니다.
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success:False |
JSON 결과
{
"ResponseMetadata":{
"HTTPHeaders":{
"connection":"keep-alive",
"content-length":"2741",
"content-type":"application/json",
"date":"Thu, 22 Oct 2020 11:08:58 GMT",
"x-amz-apigw-id":"ID",
"x-amzn-remapped-content-length":"2741",
"x-amzn-remapped-date":"Thu, 22 Oct ""2020 11:08:57 ""GMT",
"x-amzn-remapped-x-amzn-requestid":"eaea00d2-11f8-40d8-adce-f6c9f17e9815",
"x-amzn-requestid":"4102349a-a5da-4bfc-ad78-40f48885985f"
},
"HTTPStatusCode":200,
"RequestId":"4102349a-a5da-4bfc-ad78-40f48885985f",
"RetryAttempts":0
},
"findings":[
{
"accountId":"ACCOUNT_ID",
"archived":false,
"category":"CLASSIFICATION",
"classificationDetails":{
"detailedResultsLocation":"s3://[export-config-not-set]/AWSLogs/ACCOUNT_ID/Macie/us-east-1/",
"jobArn":"arn:aws:macie2:us-east-1",
"jobId":"088009521d393eda440a24f3c7ad8fbd",
"result":{
"additionalOccurrences":false,
"customDataIdentifiers":{
"detections":[
],
"totalCount":0
},
"mimeType":"application/zip",
"sensitiveData":[
{
"category":"PERSONAL_INFORMATION",
"detections":[
{
"count":80,
"type":"PHONE_NUMBER"
},
{
"count":5,
"type":"ADDRESS"
},
{
"count":207,
"type":"NAME"
}
],
"totalCount":292
},
{
"category":"CREDENTIALS",
"detections":[
{
"count":5,
"type":"AWS_CREDENTIALS"
}
],
"totalCount":5
}
],
"sizeClassified":44213802,
"status":{
"code":"PARTIAL",
"reason":"ARCHIVE_CONTAINS_UNPROCESSED_FILES"
}
}
},
"count":1,
"createdAt":datetime.datetime(2020,
10,
22,
3,
12,
9,
364000,
"tzinfo=tzutc())",
"description":"The object contains more than one type of ""sensitive information.",
"id":"FINDING_ID",
"partition":"aws",
"region":"us-east-1",
"resourcesAffected":{
"s3Bucket":{
"arn":"arn:aws:s3:::testexample",
"createdAt":datetime.datetime(2020,
9,
14,
10,
31,
56,
"tzinfo=tzutc())",
"defaultServerSideEncryption":{
"encryptionType":"NONE"
},
"name":"testexample",
"owner":{
"displayName":"lab_aws",
"id":"OWNER_ID"
},
"publicAccess":{
"effectivePermission":"PUBLIC",
"permissionConfiguration":{
"accountLevelPermissions":{
"blockPublicAccess":{
"blockPublicAcls":false,
"blockPublicPolicy":false,
"ignorePublicAcls":false,
"restrictPublicBuckets":false
}
},
"bucketLevelPermissions":{
"accessControlList":{
"allowsPublicReadAccess":false,
"allowsPublicWriteAccess":false
},
"blockPublicAccess":{
"blockPublicAcls":false,
"blockPublicPolicy":false,
"ignorePublicAcls":false,
"restrictPublicBuckets":false
},
"bucketPolicy":{
"allowsPublicReadAccess":true,
"allowsPublicWriteAccess":false
}
}
}
},
"tags":[
]
},
"s3Object":{
"bucketArn":"arn:aws:s3:::testsiemplify",
"eTag":"8dfbe2ba101b3ca0a62f8fde823503b4-5",
"extension":"zip",
"key":"awscliv2.zip",
"lastModified":datetime.datetime(2020,
9,
28,
18,
47,
30,
"tzinfo=tzutc())",
"path":"testexample/awscliv2.zip",
"publicAccess":false,
"serverSideEncryption":{
"encryptionType":"NONE"
},
"size":33775890,
"storageClass":"STANDARD",
"tags":[
],
"versionId":""
}
},
"sample":false,
"schemaVersion":"1.0",
"severity":{
"description":"High",
"score":3
},
"title":"The S3 object contains multiple types of sensitive ""information.",
"type":"SensitiveData:S3Object/Multiple",
"updatedAt":datetime.datetime(2020,
10,
22,
3,
12,
9,
364000,
"tzinfo=tzutc())"
}
]
}
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우: 'Amazon Macie 결과가 발견됨' is_success=False인 경우(예: 발견된 항목이 없음): '발견된 항목이 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보 또는 연결 손실과 같은 심각한 오류가 보고되는 경우: 'Amazon Macie 서비스에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace) |
일반 |
| 표 | 표 이름: Amazon Macie 발견 항목 테이블 열:
|
일반 |
발견 항목 가져오기
지정된 발견 항목 ID를 기반으로 Amazon Macie 발견 항목을 가져옵니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 발견 항목 ID | 문자열 | 해당 사항 없음 | 예 | 세부정보를 가져올 발견 항목 ID입니다. 매개변수는 여러 값을 쉼표로 구분된 문자열로 사용할 수 있습니다. |
사용 사례
알림을 분석하는 동안 발견 항목 세부정보를 가져옵니다. 이 경우 찾기는 커넥터에서와 같이 '플랫'하지 않으며 데이터를 처리하기가 더 쉬울 수 있습니다.
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success:False |
JSON 결과
{
"Policy": {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AddPerm",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::testexample/*"
}
]
}
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우: 'Amazon Macie 결과가 발견됨' is_success=False인 경우(예: 발견된 항목이 없음): '발견된 항목이 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보 또는 연결 손실과 같은 심각한 오류가 보고되는 경우: 'Amazon Macie 서비스에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace) |
일반 |
| 표 | 표 이름: Amazon Macie 발견 항목 테이블 열: |
일반 |
맞춤 데이터 식별자 만들기
Amazon Macie 맞춤 데이터 식별자를 만듭니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 맞춤 데이터 식별자 이름 | 문자열 | 해당 사항 없음 | 예 | Amazon Macie 새 맞춤 데이터 식별자 이름입니다. |
| 맞춤 데이터 식별자 설명 | 문자열 | 해당 사항 없음 | 아니요 | Amazon Macie 새 맞춤 데이터 식별자 설명입니다. |
| 맞춤 데이터 식별자 정규 표현식 | 문자열 | 해당 사항 없음 | 예 | Amazon Macie의 새 맞춤 데이터 식별자 정규 표현식입니다. 예: I[a@]mAB[a@]dRequest |
| 맞춤 데이터 식별자 키워드 | 문자열 | 해당 사항 없음 | 아니요 | Amazon Macie의 새로운 맞춤 데이터 식별자 키워드입니다. |
| 맞춤 데이터 식별자 무시 단어 | 문자열 | 해당 사항 없음 | 아니요 | Amazon Macie 새 맞춤 데이터 식별자 무시 단어 |
| 맞춤 데이터 식별자 최대 일치 거리 | 정수 | 50 | 아니요 | Amazon Macie의 새로운 맞춤 데이터 식별자 최대 일치 거리 |
사용 사례
관찰된 데이터를 기반으로 Amazon Macie 맞춤 데이터 식별자를 만들어 나중에 분류 작업에서 새 맞춤 데이터 식별자를 사용할 수 있습니다.
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success:False |
JSON 결과
{
"ResponseMetadata":{
"HTTPHeaders":{
"connection":"keep-alive",
"content-length":"65",
"content-type":"application/json",
"date":"Mon, 26 Oct 2020 05:15:07 GMT",
"x-amz-apigw-id":"ID",
"x-amzn-remapped-content-length":"65",
"x-amzn-remapped-date":"Mon, 26 Oct ""2020 05:15:07 ""GMT",
"x-amzn-remapped-x-amzn-requestid":"61217a30-189e-4573-9f76-257b7065a04d",
"x-amzn-requestid":"509e1c12-ab86-459e-9d6d-790a359686b2"
},
"HTTPStatusCode":200,
"RequestId":"509e1c12-ab86-459e-9d6d-790a359686b2",
"RetryAttempts":0
},
"customDataIdentifierId":"ff43487b-5643-4de1-b651-9ecbeb3021ed"
}
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우: '새 Amazon Macie 맞춤 데이터 식별자가 생성되었습니다: {0}'.format(응답의 새 identifier_id) is_success=False인 경우(예: 발견된 항목이 없는 경우): 'Amazon Macie 식별자를 만들지 못했습니다. 오류: {0}".format(response의 오류) 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보 또는 연결 손실과 같은 심각한 오류가 보고되는 경우: 'Amazon Macie 서비스에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace) |
일반 |
맞춤 데이터 식별자 삭제
Amazon Macie 맞춤 데이터 식별자를 삭제합니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 맞춤 데이터 식별자 ID | 문자열 | 해당 사항 없음 | 아니요 | 삭제할 Amazon Macie 맞춤 데이터 식별자 ID입니다. |
사용 사례
Amazon Macie 맞춤 데이터 식별자를 삭제합니다.
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success:False |
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우: 'Amazon Macie 맞춤 데이터 식별자 {0}이(가) 삭제됨'.format(맞춤 데이터 식별자 ID) is_success=False인 경우(예: 발견 항목이 없음): 'Amazon Macie 식별자 {0}을 삭제하지 못했습니다. 오류: {1}".format(custom data identifier id, error from response) 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보 또는 연결 손실과 같은 심각한 오류가 보고되는 경우: 'Amazon Macie 서비스에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace) |
일반 |
Macie 사용 설정
Amazon Macie 서비스를 사용 설정합니다.
매개변수
해당 사항 없음
사용 사례
서비스 창이 완료된 후 Amazon Macie를 사용 설정합니다.
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success:False |
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우: 'Amazon Macie 서비스를 사용 설정했습니다.' is_success=False인 경우: 'Amazon Macie 서비스를 사용 설정하지 못했습니다. 오류: {0}".format(response의 오류) 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보 또는 연결 손실과 같은 심각한 오류가 보고되는 경우: 'Amazon Macie 서비스에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace) |
일반 |
Macie 사용 중지
Amazon Macie 서비스를 사용 중지합니다.
사용 사례
서비스 기간 동안 Amazon Macie를 사용 중지 - AWS 버킷을 변경하여 거짓양성을 많이 유발하지 않음
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success:False |
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우: 'Amazon Macie 서비스를 사용 중지했습니다.' is_success=False인 경우: 'Amazon Macie 서비스를 사용 중지하지 못했습니다. 오류: {0}".format(response의 오류) 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보 또는 연결 손실과 같은 심각한 오류가 보고되는 경우: 'Amazon Macie 서비스에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace) |
일반 |
커넥터
Google SecOps에서 커넥터를 구성하는 방법에 관한 자세한 내용은 데이터 수집 (커넥터)을 참고하세요.
Amazon Macie - Findings Connector
Amazon Macie 결과를 수집합니다.
커넥터 매개변수
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 제품 필드 이름 | 문자열 | 해당 사항 없음 | 예 |
제품 이름이 저장된 필드의 이름입니다. 제품 이름은 주로 매핑에 영향을 미칩니다. 커넥터의 매핑 프로세스를 간소화하고 개선하기 위해 기본값은 코드에서 참조되는 대체 값으로 확인됩니다. 이 매개변수의 잘못된 입력은 기본적으로 대체 값으로 처리됩니다. 기본값은 |
| 이벤트 필드 이름 | 문자열 | 해당 사항 없음 | 예 | 이벤트 이름 (하위 유형)을 결정하는 필드의 이름입니다. |
| 환경 필드 이름 | 문자열 | 해당 사항 없음 | 아니요 | 환경 이름이 저장된 필드의 이름입니다. 환경 필드가 누락된 경우 커넥터는 기본값을 사용합니다. |
Environment Regex Pattern |
문자열 | 해당 사항 없음 | 아니요 |
기본값 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
| 스크립트 제한 시간(초) | 정수 | 180 | 예 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다. |
| AWS 액세스 키 ID | 문자열 | 해당 사항 없음 | 참 | 통합에 사용할 AWS 액세스 키 ID입니다. |
| AWS 보안 비밀 키 | 비밀번호 | 해당 사항 없음 | 참 | 통합에 사용할 AWS 보안 비밀 키입니다. |
| AWS 기본 리전 | 문자열 | 해당 사항 없음 | 참 | 통합에 사용할 AWS 기본 리전입니다(예: us-west-2). |
| 수집할 발견 항목 심각도 | 문자열 | 해당 사항 없음 | 아니요 | 수집할 심각도 찾기 - 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. 아무것도 지정하지 않으면 커넥터는 심각도와 관계없이 모든 발견 항목을 수집합니다. |
| 가져올 최대 발견 항목 수 | 정수 | 50 | 아니요 | 커넥터 반복당 처리할 발견 항목 수입니다. |
| 최대 시간을 뒤로 가져오기 | 정수 | 1 | 아니요 | 현재로부터 몇 시간 전의 알림을 가져올지 나타냅니다. 이 매개변수는 커넥터를 처음 사용 설정한 후의 초기 커넥터 반복 또는 만료된 커넥터 타임스탬프의 대체 값에 적용될 수 있습니다. |
Use whitelist as a blacklist |
체크박스 | 선택 해제 | 예 | 선택하면 커넥터가 동적 목록을 차단 목록으로 사용합니다. |
| 프록시 서버 주소 | 문자열 | 해당 사항 없음 | 아니요 | 사용할 프록시 서버의 주소입니다. |
| 프록시 사용자 이름 | 문자열 | 해당 사항 없음 | 아니요 | 인증할 프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 비밀번호 | 해당 사항 없음 | 아니요 | 인증할 프록시 비밀번호입니다. |
커넥터 규칙
차단 목록은 기본적으로 사용 중지되어 있습니다.
커넥터는 특정 유형의 발견 항목만 수집하는 동적 목록을 지원합니다.
커넥터가 프록시를 지원합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.