Integrar o Amazon Macie ao Google SecOps
Este documento descreve como integrar o Amazon Macie ao Google Security Operations (Google SecOps).
Versão da integração: 7.0
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância em que você pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| ID da chave de acesso da AWS | String | N/A | Sim | ID da chave de acesso da AWS a ser usado na integração. |
| Chave secreta da AWS | Senha | N/A | Sim | Chave secreta da AWS a ser usada na integração. |
| Região padrão da AWS | String | N/A | Sim | Região padrão da AWS a ser usada na integração, por exemplo, us-west-1. |
| Executar remotamente | Caixa de seleção | Desmarcado | Não | Marque a caixa de seleção para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o usuário remoto (agente). |
Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
É possível fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.
Ações
Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.
Ping
Testar a conectividade.
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success:False |
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a conexão for bem-sucedida : "Conexão bem-sucedida com o serviço Amazon Macie usando os parâmetros fornecidos" A ação precisa falhar e interromper a execução de um playbook: Se um erro crítico, como credenciais incorretas ou perda de conectividade, for informado : "Não foi possível se conectar ao serviço Amazon Macie! O erro é {0}".format(exception.stacktrace) |
Geral |
Listar descobertas
Lista descobertas do Amazon Macie com base nos parâmetros de entrada da ação especificada.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Tipo de descoberta | String | N/A | Não | Tipo de descoberta a ser pesquisado, por exemplo, SensitiveData:S3Object/Credentials ou SensitiveData:S3Object/Multiple. O parâmetro aceita vários valores como uma string separada por vírgulas. Se nada for especificado, a ação vai retornar todos os tipos de descobertas. |
| Gravidade | String | 4 | Não | Gravidade da descoberta a ser pesquisada: alta, média ou baixa. O parâmetro aceita vários valores como uma string separada por vírgulas. Se nada for especificado, a ação vai retornar todos os resultados, independente da gravidade. |
| Incluir descobertas arquivadas? | Caixa de seleção | Desmarcado | Não | Especifique se você quer incluir ou não descobertas arquivadas nos resultados. |
| Período | Número inteiro | 4 | Não | Especifique um período em horas para buscar descobertas. |
| Limite de registros | Número inteiro | 20 | Não | Especifique quantos registros podem ser retornados pela ação. |
| Ordenar por | String | N/A | Não | Especifique um parâmetro para classificar os dados. Exemplo: updatedAt |
| Ordem de classificação | DDL | ASC | Não | Ordem de classificação. |
Casos de uso
Liste as descobertas do Amazon Macie para ver quais estão disponíveis.
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success:False |
Resultado JSON
{
"ResponseMetadata":{
"HTTPHeaders":{
"connection":"keep-alive",
"content-length":"2741",
"content-type":"application/json",
"date":"Thu, 22 Oct 2020 11:08:58 GMT",
"x-amz-apigw-id":"ID",
"x-amzn-remapped-content-length":"2741",
"x-amzn-remapped-date":"Thu, 22 Oct ""2020 11:08:57 ""GMT",
"x-amzn-remapped-x-amzn-requestid":"eaea00d2-11f8-40d8-adce-f6c9f17e9815",
"x-amzn-requestid":"4102349a-a5da-4bfc-ad78-40f48885985f"
},
"HTTPStatusCode":200,
"RequestId":"4102349a-a5da-4bfc-ad78-40f48885985f",
"RetryAttempts":0
},
"findings":[
{
"accountId":"ACCOUNT_ID",
"archived":false,
"category":"CLASSIFICATION",
"classificationDetails":{
"detailedResultsLocation":"s3://[export-config-not-set]/AWSLogs/ACCOUNT_ID/Macie/us-east-1/",
"jobArn":"arn:aws:macie2:us-east-1",
"jobId":"088009521d393eda440a24f3c7ad8fbd",
"result":{
"additionalOccurrences":false,
"customDataIdentifiers":{
"detections":[
],
"totalCount":0
},
"mimeType":"application/zip",
"sensitiveData":[
{
"category":"PERSONAL_INFORMATION",
"detections":[
{
"count":80,
"type":"PHONE_NUMBER"
},
{
"count":5,
"type":"ADDRESS"
},
{
"count":207,
"type":"NAME"
}
],
"totalCount":292
},
{
"category":"CREDENTIALS",
"detections":[
{
"count":5,
"type":"AWS_CREDENTIALS"
}
],
"totalCount":5
}
],
"sizeClassified":44213802,
"status":{
"code":"PARTIAL",
"reason":"ARCHIVE_CONTAINS_UNPROCESSED_FILES"
}
}
},
"count":1,
"createdAt":datetime.datetime(2020,
10,
22,
3,
12,
9,
364000,
"tzinfo=tzutc())",
"description":"The object contains more than one type of ""sensitive information.",
"id":"FINDING_ID",
"partition":"aws",
"region":"us-east-1",
"resourcesAffected":{
"s3Bucket":{
"arn":"arn:aws:s3:::testexample",
"createdAt":datetime.datetime(2020,
9,
14,
10,
31,
56,
"tzinfo=tzutc())",
"defaultServerSideEncryption":{
"encryptionType":"NONE"
},
"name":"testexample",
"owner":{
"displayName":"lab_aws",
"id":"OWNER_ID"
},
"publicAccess":{
"effectivePermission":"PUBLIC",
"permissionConfiguration":{
"accountLevelPermissions":{
"blockPublicAccess":{
"blockPublicAcls":false,
"blockPublicPolicy":false,
"ignorePublicAcls":false,
"restrictPublicBuckets":false
}
},
"bucketLevelPermissions":{
"accessControlList":{
"allowsPublicReadAccess":false,
"allowsPublicWriteAccess":false
},
"blockPublicAccess":{
"blockPublicAcls":false,
"blockPublicPolicy":false,
"ignorePublicAcls":false,
"restrictPublicBuckets":false
},
"bucketPolicy":{
"allowsPublicReadAccess":true,
"allowsPublicWriteAccess":false
}
}
}
},
"tags":[
]
},
"s3Object":{
"bucketArn":"arn:aws:s3:::testsiemplify",
"eTag":"8dfbe2ba101b3ca0a62f8fde823503b4-5",
"extension":"zip",
"key":"awscliv2.zip",
"lastModified":datetime.datetime(2020,
9,
28,
18,
47,
30,
"tzinfo=tzutc())",
"path":"testexample/awscliv2.zip",
"publicAccess":false,
"serverSideEncryption":{
"encryptionType":"NONE"
},
"size":33775890,
"storageClass":"STANDARD",
"tags":[
],
"versionId":""
}
},
"sample":false,
"schemaVersion":"1.0",
"severity":{
"description":"High",
"score":3
},
"title":"The S3 object contains multiple types of sensitive ""information.",
"type":"SensitiveData:S3Object/Multiple",
"updatedAt":datetime.datetime(2020,
10,
22,
3,
12,
9,
364000,
"tzinfo=tzutc())"
}
]
}
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a ação for bem-sucedida : "Resultados do Amazon Macie encontrados" Se is_success=False, por exemplo, nenhum resultado foi encontrado: "Nenhum resultado foi retornado". A ação precisa falhar e interromper a execução de um playbook: Se um erro crítico, como credenciais incorretas ou perda de conectividade, for informado : "Não foi possível se conectar ao serviço Amazon Macie! O erro é {0}".format(exception.stacktrace) |
Geral |
| Tabela | Nome da tabela:descobertas do Amazon Macie Colunas da tabela:
|
Geral |
Receber descobertas
Recebe descobertas do Amazon Macie com base no ID especificado.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID da descoberta | String | N/A | Sim | ID da descoberta para receber detalhes. O parâmetro pode receber vários valores como uma string separada por vírgulas. |
Casos de uso
Receba detalhes de descobertas ao analisar o alerta. Nesse caso, a descoberta não será "simples" como se fosse do conector, e os dados podem ser mais fáceis de processar.
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success:False |
Resultado do JSON
{
"Policy": {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AddPerm",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::testexample/*"
}
]
}
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a ação for bem-sucedida : "Resultados do Amazon Macie encontrados" Se is_success=False, por exemplo, nenhum resultado foi encontrado: "Nenhum resultado foi retornado". A ação precisa falhar e interromper a execução de um playbook: Se um erro crítico, como credenciais incorretas ou perda de conectividade, for informado : "Não foi possível se conectar ao serviço Amazon Macie! O erro é {0}".format(exception.stacktrace) |
Geral |
| Tabela | Nome da tabela:descobertas do Amazon Macie Colunas da tabela: |
Geral |
Criar identificador de dados personalizado
Crie um identificador de dados personalizado do Amazon Macie.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do identificador de dados personalizado | String | N/A | Sim | Novo nome do identificador de dados personalizados do Amazon Macie. |
| Descrição do identificador de dados personalizados | String | N/A | Não | Nova descrição do identificador de dados personalizados do Amazon Macie. |
| Expressão regular de identificador de dados personalizada | String | N/A | Sim | Nova expressão regular de identificador de dados personalizados do Amazon Macie. Exemplo: I[a@]mAB[a@]dRequest |
| Palavras-chave de identificador de dados personalizados | String | N/A | Não | Novas palavras-chave de identificador de dados personalizados do Amazon Macie. |
| Palavras a serem ignoradas pelo identificador de dados personalizados | String | N/A | Não | Novas palavras de ignorar identificadores de dados personalizados do Amazon Macie. |
| Distância máxima de correspondência do identificador de dados personalizado | Número inteiro | 50 | Não | Nova distância máxima de correspondência do identificador de dados personalizados do Amazon Macie. |
Casos de uso
Crie um identificador de dados personalizados do Amazon Macie com base nos dados observados para que um novo identificador possa ser usado em jobs de classificação.
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success:False |
Resultado do JSON
{
"ResponseMetadata":{
"HTTPHeaders":{
"connection":"keep-alive",
"content-length":"65",
"content-type":"application/json",
"date":"Mon, 26 Oct 2020 05:15:07 GMT",
"x-amz-apigw-id":"ID",
"x-amzn-remapped-content-length":"65",
"x-amzn-remapped-date":"Mon, 26 Oct ""2020 05:15:07 ""GMT",
"x-amzn-remapped-x-amzn-requestid":"61217a30-189e-4573-9f76-257b7065a04d",
"x-amzn-requestid":"509e1c12-ab86-459e-9d6d-790a359686b2"
},
"HTTPStatusCode":200,
"RequestId":"509e1c12-ab86-459e-9d6d-790a359686b2",
"RetryAttempts":0
},
"customDataIdentifierId":"ff43487b-5643-4de1-b651-9ecbeb3021ed"
}
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a operação for bem-sucedida : "New Amazon Macie custom data identifier created: {0}".format(new identifier_id from response) Se is_success=False, por exemplo, nenhum resultado foi encontrado: "Failed to create Amazon Macie Identifier. O erro é: {0}".format(error from response) A ação precisa falhar e interromper a execução de um playbook: Se um erro crítico, como credenciais incorretas ou perda de conectividade, for informado : "Não foi possível se conectar ao serviço Amazon Macie! O erro é {0}".format(exception.stacktrace) |
Geral |
Excluir identificador de dados personalizados
Exclui um identificador de dados personalizado do Amazon Macie.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do identificador de dados personalizado | String | N/A | Não | ID do identificador de dados personalizados do Amazon Macie a ser excluído. |
Casos de uso
Exclui um identificador de dados personalizado do Amazon Macie.
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success:False |
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se for bem-sucedido : "O identificador de dados personalizado do Amazon Macie {0} foi excluído".format(custom data identifier id) Se is_success=False, por exemplo, nenhum resultado foi encontrado: "Failed to delete Amazon Macie Identifier {0}. O erro é: {1}".format(custom data identifier id, error from response) A ação precisa falhar e interromper a execução de um playbook: Se um erro crítico, como credenciais incorretas ou perda de conectividade, for informado : "Não foi possível se conectar ao serviço Amazon Macie! O erro é {0}".format(exception.stacktrace) |
Geral |
Ativar o Macie
Ative o serviço Amazon Macie.
Parâmetros
N/A
Casos de uso
Ative o Amazon Macie depois que a janela de serviço for concluída.
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success:False |
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a operação for bem-sucedida : "O serviço do Amazon Macie foi ativado" Se is_success=False : "Falha ao ativar o serviço do Amazon Macie. O erro é: {0}".format(error from response) A ação precisa falhar e interromper a execução de um playbook: Se um erro crítico, como credenciais incorretas ou perda de conectividade, for informado: "Não foi possível se conectar ao serviço Amazon Macie! O erro é {0}".format(exception.stacktrace) |
Geral |
Desativar o Macie
Desative o serviço Amazon Macie.
Casos de uso
Desative o Amazon Macie para a janela de serviço. Isso permite fazer algumas mudanças nos buckets da AWS e não causa muitos falsos positivos.
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success:False |
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a operação for bem-sucedida : "O serviço do Amazon Macie foi desativado" Se is_success=False: "Falha ao desativar o serviço do Amazon Macie. O erro é: {0}".format(error from response) A ação precisa falhar e interromper a execução de um playbook: Se um erro crítico, como credenciais incorretas ou perda de conectividade, for informado : "Não foi possível se conectar ao serviço Amazon Macie! O erro é {0}".format(exception.stacktrace) |
Geral |
Conectores
Para mais detalhes sobre como configurar conectores no Google SecOps, consulte Ingerir seus dados (conectores).
Amazon Macie: conector de descobertas
Ingerir descobertas do Amazon Macie.
Parâmetros do conector
Use os seguintes parâmetros para configurar o conector:
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | N/A | Sim |
O nome do campo em que o nome do produto é armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor padrão é resolvido como um valor substituto referenciado no código. Qualquer entrada inválida para esse parâmetro é resolvida como um valor de substituição por padrão. O valor padrão é |
| Nome do campo do evento | String | N/A | Sim | O nome do campo que determina o nome do evento (subtipo). |
| Nome do campo de ambiente | String | N/A | Não | O nome do campo em que o nome do ambiente é armazenado. Se o campo "environment" estiver ausente, o conector usará o valor padrão. |
Environment Regex Pattern |
String | N/A | Não |
Um padrão de expressão regular a ser executado no valor encontrado no campo Use o valor padrão Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
| Tempo limite do script (segundos) | Número inteiro | 180 | Sim | O limite de tempo limite, em segundos, para o processo do Python que executa o script atual. |
| ID da chave de acesso da AWS | String | N/A | Verdadeiro | ID da chave de acesso da AWS a ser usado na integração. |
| Chave secreta da AWS | Senha | N/A | Verdadeiro | Chave secreta da AWS a ser usada na integração. |
| Região padrão da AWS | String | N/A | Verdadeiro | Região padrão da AWS a ser usada na integração, por exemplo, us-west-2. |
| Gravidade da descoberta a ser ingerida | String | N/A | Não | Encontrar a gravidade para ingestão: O parâmetro aceita vários valores como uma string separada por vírgulas. Se nada for especificado, o conector vai ingerir todos os resultados, independente da gravidade. |
| Número máximo de descobertas a serem buscadas | Número inteiro | 50 | Não | Número de descobertas a serem processadas por iteração de conector. |
| Voltar o tempo máximo | Número inteiro | 1 | Não | O número de horas antes do momento atual para recuperar alertas. Esse parâmetro pode ser aplicado à iteração inicial do conector depois que você o ativa pela primeira vez ou ao valor de substituição de um carimbo de data/hora expirado do conector. |
Use whitelist as a blacklist |
Caixa de seleção | Desmarcado | Sim | Se selecionado, o conector usa a lista dinâmica como uma lista de bloqueio. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a ser usado. |
| Nome de usuário do proxy | String | N/A | Não | O nome de usuário do proxy para autenticação. |
| Senha do proxy | Senha | N/A | Não | A senha do proxy para autenticação. |
Regras de conector
A lista de bloqueio fica desativada por padrão.
O conector é compatível com a lista dinâmica que ingere apenas descobertas de um tipo específico.
O conector é compatível com proxies.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.