Integre o Amazon Macie com o Google SecOps
Este documento descreve como integrar o Amazon Macie com o Google Security Operations (Google SecOps).
Versão da integração: 7.0
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância para a qual pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| ID da chave de acesso da AWS | String | N/A | Sim | ID da chave de acesso da AWS a usar na integração. |
| Chave secreta da AWS | Palavra-passe | N/A | Sim | Chave secreta da AWS a usar na integração. |
| Região predefinida da AWS | String | N/A | Sim | Região predefinida da AWS a usar na integração, por exemplo, us-west-1. |
| Executar remotamente | Caixa de verificação | Desmarcado | Não | Selecione a caixa de verificação para executar a integração configurada remotamente. Depois de selecionar esta opção, é apresentada a opção para selecionar o utilizador remoto (agente). |
Para obter instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configurar integrações.
Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre como configurar e suportar várias instâncias, consulte o artigo Suporte de várias instâncias.
Ações
Para mais informações sobre ações, consulte os artigos Responda a ações pendentes da sua mesa de trabalho e Execute uma ação manual.
Tchim-tchim
Teste a conetividade.
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro ou falso | is_success:False |
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se tiver êxito: "Ligação estabelecida com êxito ao serviço Amazon Macie com os parâmetros de ligação fornecidos!" A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro crítico, como credenciais incorretas ou perda de conetividade: "Falha ao estabelecer ligação ao serviço Amazon Macie! O erro é {0}".format(exception.stacktrace) |
Géneros |
Listar resultados
Listar as conclusões do Amazon Macie com base nos parâmetros de entrada de ação especificados.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Tipo de resultado | String | N/A | Não | Tipo de localização a pesquisar, por exemplo, SensitiveData:S3Object/Credentials ou SensitiveData:S3Object/Multiple. O parâmetro aceita vários valores como uma string separada por vírgulas. Se não for especificado nada, a ação devolve todos os tipos de resultados. |
| Gravidade | String | 4 | Não | Gravidade da pesquisa: alta, média ou baixa. O parâmetro aceita vários valores como uma string separada por vírgulas. Se não for especificado nada, a ação devolve todas as descobertas, independentemente da gravidade. |
| Incluir resultados arquivados? | Caixa de verificação | Desmarcado | Não | Especifique se quer incluir ou não as descobertas arquivadas nos resultados. |
| Intervalo de tempo | Número inteiro | 4 | Não | Especifique um período em horas para obter resultados. |
| Limite de registos | Número inteiro | 20 | Não | Especifique quantos registos podem ser devolvidos pela ação. |
| Ordenar por | String | N/A | Não | Especifique um parâmetro para ordenar os dados. Exemplo: updatedAt |
| Ordenação | LDD | ASC | Não | Ordenação. |
Exemplos de utilização
Liste as conclusões do Amazon Macie para ver que conclusões estão disponíveis.
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro ou falso | is_success:False |
Resultado JSON
{
"ResponseMetadata":{
"HTTPHeaders":{
"connection":"keep-alive",
"content-length":"2741",
"content-type":"application/json",
"date":"Thu, 22 Oct 2020 11:08:58 GMT",
"x-amz-apigw-id":"ID",
"x-amzn-remapped-content-length":"2741",
"x-amzn-remapped-date":"Thu, 22 Oct ""2020 11:08:57 ""GMT",
"x-amzn-remapped-x-amzn-requestid":"eaea00d2-11f8-40d8-adce-f6c9f17e9815",
"x-amzn-requestid":"4102349a-a5da-4bfc-ad78-40f48885985f"
},
"HTTPStatusCode":200,
"RequestId":"4102349a-a5da-4bfc-ad78-40f48885985f",
"RetryAttempts":0
},
"findings":[
{
"accountId":"ACCOUNT_ID",
"archived":false,
"category":"CLASSIFICATION",
"classificationDetails":{
"detailedResultsLocation":"s3://[export-config-not-set]/AWSLogs/ACCOUNT_ID/Macie/us-east-1/",
"jobArn":"arn:aws:macie2:us-east-1",
"jobId":"088009521d393eda440a24f3c7ad8fbd",
"result":{
"additionalOccurrences":false,
"customDataIdentifiers":{
"detections":[
],
"totalCount":0
},
"mimeType":"application/zip",
"sensitiveData":[
{
"category":"PERSONAL_INFORMATION",
"detections":[
{
"count":80,
"type":"PHONE_NUMBER"
},
{
"count":5,
"type":"ADDRESS"
},
{
"count":207,
"type":"NAME"
}
],
"totalCount":292
},
{
"category":"CREDENTIALS",
"detections":[
{
"count":5,
"type":"AWS_CREDENTIALS"
}
],
"totalCount":5
}
],
"sizeClassified":44213802,
"status":{
"code":"PARTIAL",
"reason":"ARCHIVE_CONTAINS_UNPROCESSED_FILES"
}
}
},
"count":1,
"createdAt":datetime.datetime(2020,
10,
22,
3,
12,
9,
364000,
"tzinfo=tzutc())",
"description":"The object contains more than one type of ""sensitive information.",
"id":"FINDING_ID",
"partition":"aws",
"region":"us-east-1",
"resourcesAffected":{
"s3Bucket":{
"arn":"arn:aws:s3:::testexample",
"createdAt":datetime.datetime(2020,
9,
14,
10,
31,
56,
"tzinfo=tzutc())",
"defaultServerSideEncryption":{
"encryptionType":"NONE"
},
"name":"testexample",
"owner":{
"displayName":"lab_aws",
"id":"OWNER_ID"
},
"publicAccess":{
"effectivePermission":"PUBLIC",
"permissionConfiguration":{
"accountLevelPermissions":{
"blockPublicAccess":{
"blockPublicAcls":false,
"blockPublicPolicy":false,
"ignorePublicAcls":false,
"restrictPublicBuckets":false
}
},
"bucketLevelPermissions":{
"accessControlList":{
"allowsPublicReadAccess":false,
"allowsPublicWriteAccess":false
},
"blockPublicAccess":{
"blockPublicAcls":false,
"blockPublicPolicy":false,
"ignorePublicAcls":false,
"restrictPublicBuckets":false
},
"bucketPolicy":{
"allowsPublicReadAccess":true,
"allowsPublicWriteAccess":false
}
}
}
},
"tags":[
]
},
"s3Object":{
"bucketArn":"arn:aws:s3:::testsiemplify",
"eTag":"8dfbe2ba101b3ca0a62f8fde823503b4-5",
"extension":"zip",
"key":"awscliv2.zip",
"lastModified":datetime.datetime(2020,
9,
28,
18,
47,
30,
"tzinfo=tzutc())",
"path":"testexample/awscliv2.zip",
"publicAccess":false,
"serverSideEncryption":{
"encryptionType":"NONE"
},
"size":33775890,
"storageClass":"STANDARD",
"tags":[
],
"versionId":""
}
},
"sample":false,
"schemaVersion":"1.0",
"severity":{
"description":"High",
"score":3
},
"title":"The S3 object contains multiple types of sensitive ""information.",
"type":"SensitiveData:S3Object/Multiple",
"updatedAt":datetime.datetime(2020,
10,
22,
3,
12,
9,
364000,
"tzinfo=tzutc())"
}
]
}
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido: "Amazon Macie findings found" (Resultados do Amazon Macie encontrados) Se is_success=False, por exemplo, não foram encontradas conclusões: "Não foram devolvidas conclusões." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro crítico, como credenciais incorretas ou perda de conetividade: "Falha ao estabelecer ligação ao serviço Amazon Macie! O erro é {0}".format(exception.stacktrace) |
Geral |
| Tabela | Nome da tabela: Amazon Macie Findings Colunas da tabela:
|
Geral |
Obtenha descobertas
Receba resultados do Amazon Macie com base no ID do resultado especificado.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Encontrar o ID | String | N/A | Sim | Encontrar o ID para obter detalhes. O parâmetro pode assumir vários valores como uma string separada por vírgulas. |
Exemplos de utilização
Aceda aos detalhes das descobertas enquanto analisa o alerta. Neste caso, a localização não vai ser "simples" como se fosse do conetor, e os dados de localização podem ser mais fáceis de processar.
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro ou falso | is_success:False |
Resultado JSON
{
"Policy": {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AddPerm",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::testexample/*"
}
]
}
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido: "Amazon Macie findings found" (Resultados do Amazon Macie encontrados) Se is_success=False, por exemplo, não foram encontradas conclusões: "Não foram devolvidas conclusões." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro crítico, como credenciais incorretas ou perda de conetividade: "Falha ao estabelecer ligação ao serviço Amazon Macie! O erro é {0}".format(exception.stacktrace) |
Geral |
| Tabela | Nome da tabela: Amazon Macie Findings Colunas da tabela: |
Geral |
Crie um identificador de dados personalizado
Crie um identificador de dados personalizado do Amazon Macie.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do identificador de dados personalizado | String | N/A | Sim | Novo nome do identificador de dados personalizado do Amazon Macie. |
| Descrição do identificador de dados personalizado | String | N/A | Não | Descrição do novo identificador de dados personalizado do Amazon Macie. |
| Expressão regular do identificador de dados personalizados | String | N/A | Sim | Expressão regular do identificador de dados personalizado do Amazon Macie. Exemplo: I[a@]mAB[a@]dRequest |
| Palavras-chave do identificador de dados personalizado | String | N/A | Não | Palavras-chave do novo identificador de dados personalizado do Amazon Macie. |
| Palavras a ignorar do identificador de dados personalizado | String | N/A | Não | Palavras ignoradas do novo identificador de dados personalizados do Amazon Macie. |
| Distância máxima de correspondência do identificador de dados personalizado | Número inteiro | 50 | Não | Distância máxima de correspondência do novo identificador de dados personalizado do Amazon Macie. |
Exemplos de utilização
Crie um identificador de dados personalizado do Amazon Macie com base nos dados observados para que, posteriormente, possa usar o novo identificador de dados personalizado em tarefas de classificação.
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro ou falso | is_success:False |
Resultado JSON
{
"ResponseMetadata":{
"HTTPHeaders":{
"connection":"keep-alive",
"content-length":"65",
"content-type":"application/json",
"date":"Mon, 26 Oct 2020 05:15:07 GMT",
"x-amz-apigw-id":"ID",
"x-amzn-remapped-content-length":"65",
"x-amzn-remapped-date":"Mon, 26 Oct ""2020 05:15:07 ""GMT",
"x-amzn-remapped-x-amzn-requestid":"61217a30-189e-4573-9f76-257b7065a04d",
"x-amzn-requestid":"509e1c12-ab86-459e-9d6d-790a359686b2"
},
"HTTPStatusCode":200,
"RequestId":"509e1c12-ab86-459e-9d6d-790a359686b2",
"RetryAttempts":0
},
"customDataIdentifierId":"ff43487b-5643-4de1-b651-9ecbeb3021ed"
}
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido: "New Amazon Macie custom data identifier created: {0}".format(new identifier_id from response) Se is_success=False, por exemplo, não foram encontradas descobertas: "Failed to create Amazon Macie Identifier. O erro é: {0}".format(error from response) A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro crítico, como credenciais incorretas ou perda de conetividade: "Falha ao estabelecer ligação ao serviço Amazon Macie! O erro é {0}".format(exception.stacktrace) |
Geral |
Elimine o identificador de dados personalizado
Elimine o identificador de dados personalizado do Amazon Macie.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do identificador de dados personalizado | String | N/A | Não | ID do identificador de dados personalizado do Amazon Macie a eliminar. |
Exemplos de utilização
Elimine o identificador de dados personalizado do Amazon Macie.
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro ou falso | is_success:False |
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido: "Amazon Macie custom data identifier {0} deleted".format(custom data identifier id) Se is_success=False, por exemplo, não foram encontradas conclusões: "Failed to delete Amazon Macie Identifier {0}. O erro é: {1}".format(custom data identifier id, error from response) A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro crítico, como credenciais incorretas ou perda de conetividade: "Falha ao estabelecer ligação ao serviço Amazon Macie! O erro é {0}".format(exception.stacktrace) |
Geral |
Ative o Macie
Ative o serviço Amazon Macie.
Parâmetros
N/A
Exemplos de utilização
Ative o Amazon Macie após a conclusão da janela de serviço.
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro ou falso | is_success:False |
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido: "Successfully enabled Amazon Macie service" (Serviço Amazon Macie ativado com êxito) If is_success=False: "Failed to enable Amazon Macie service. O erro é: {0}".format(error from response) A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro crítico, como credenciais incorretas ou perda de conetividade:"Falha ao estabelecer ligação ao serviço Amazon Macie! O erro é {0}".format(exception.stacktrace) |
Geral |
Desative o Macie
Desative o serviço Amazon Macie.
Exemplos de utilização
Desative o Amazon Macie para a janela de serviço, de modo a fazer algumas alterações nos contentores do AWS e não causar muitos falsos positivos.
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro ou falso | is_success:False |
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido: "Successfully disabled Amazon Macie service" (O serviço Amazon Macie foi desativado com êxito) Se is_success=False: "Failed to disable Amazon Macie service. O erro é: {0}".format(error from response) A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro crítico, como credenciais incorretas ou perda de conetividade: "Falha ao estabelecer ligação ao serviço Amazon Macie! O erro é {0}".format(exception.stacktrace) |
Geral |
Conetores
Para mais detalhes sobre como configurar conetores no Google SecOps, consulte o artigo Carregue os seus dados (conetores).
Amazon Macie – Findings Connector
Carregue entradas do Amazon Macie.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | N/A | Sim |
O nome do campo onde o nome do produto está armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor predefinido é resolvido para um valor alternativo referenciado a partir do código. Qualquer entrada inválida para este parâmetro é resolvida para um valor alternativo por predefinição. O valor predefinido é |
| Nome do campo de evento | String | N/A | Sim | O nome do campo que determina o nome do evento (subtipo). |
| Nome do campo do ambiente | String | N/A | Não | O nome do campo onde o nome do ambiente está armazenado. Se o campo de ambiente estiver em falta, o conector usa o valor predefinido. |
Environment Regex Pattern |
String | N/A | Não |
Um padrão de expressão regular a executar no valor encontrado no campo Use o valor predefinido Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado do ambiente final é o ambiente predefinido. |
| Limite de tempo do script (segundos) | Número inteiro | 180 | Sim | O limite de tempo limite, em segundos, para o processo Python que executa o script atual. |
| ID da chave de acesso da AWS | String | N/A | True | ID da chave de acesso da AWS a usar na integração. |
| Chave secreta da AWS | Palavra-passe | N/A | True | Chave secreta da AWS a usar na integração. |
| Região predefinida da AWS | String | N/A | True | Região predefinida da AWS a usar na integração, por exemplo, us-west-2. |
| Encontrar a gravidade para carregar | String | N/A | Não | Gravidade da descoberta a carregar: O parâmetro aceita vários valores como uma string separada por vírgulas. Se nada for especificado, o conector carrega todas as descobertas, independentemente da gravidade. |
| Número máximo de resultados a obter | Número inteiro | 50 | Não | Número de resultados a processar por iteração de conetor. |
| Fetch Max Hours Backwards | Número inteiro | 1 | Não | O número de horas anteriores ao momento atual para obter alertas. Este parâmetro pode aplicar-se à iteração inicial do conector depois de ativar o conector pela primeira vez ou ao valor alternativo para uma data/hora do conector expirada. |
Use whitelist as a blacklist |
Caixa de verificação | Desmarcado | Sim | Se estiver selecionada, o conetor usa a lista dinâmica como uma lista de bloqueios. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | String | N/A | Não | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | Palavra-passe | N/A | Não | A palavra-passe do proxy para autenticação. |
Regras do conetor
A lista de bloqueio está desativada por predefinição.
O conetor suporta a lista dinâmica que carrega apenas resultados de um tipo específico.
O conetor suporta proxies.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.