整合 Amazon Macie 與 Google SecOps
本文說明如何整合 Amazon Macie 與 Google Security Operations (Google SecOps)。
整合版本:7.0
整合參數
請使用下列參數設定整合:
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 執行個體名稱 | 字串 | 不適用 | 否 | 您要設定整合的執行個體名稱。 |
| 說明 | 字串 | 不適用 | 否 | 執行個體的說明。 |
| AWS 存取金鑰 ID | 字串 | 不適用 | 是 | 用於整合的 AWS 存取金鑰 ID。 |
| AWS 密鑰 | 密碼 | 不適用 | 是 | 用於整合的 AWS 私密金鑰。 |
| AWS 預設區域 | 字串 | 不適用 | 是 | 要在整合中使用的 AWS 預設區域,例如 us-west-1。 |
| 遠端執行 | 核取方塊 | 已取消勾選 | 否 | 勾選核取方塊,即可遠端執行設定的整合。選取後,系統會顯示選項,供您選取遠端使用者 (服務專員)。 |
如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。
如有需要,您可以在稍後階段進行變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。
動作
如要進一步瞭解動作,請參閱「 從工作台回覆待處理動作」和「執行手動動作」。
乒乓
測試連線。
執行日期
這項操作不會對實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
案件總覽
| 結果類型 | 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功: 「Successfully connected to the Amazon Macie service with the provided connection parameters!」(已使用提供的連線參數成功連線至 Amazon Macie 服務!) 動作應會失敗並停止執行應對手冊: 如果系統回報重大錯誤,例如憑證錯誤或連線中斷: 「Failed to connect to the Amazon Macie service! Error is {0}".format(exception.stacktrace) |
Genera |
可列出發現項目
根據指定動作輸入參數列出 Amazon Macie 發現項目。
參數
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 發現項目類型 | 字串 | 不適用 | 否 | 要搜尋的尋找類型,例如 SensitiveData:S3Object/Credentials 或 SensitiveData:S3Object/Multiple。 參數接受以半形逗號分隔的多個值。 如未指定,動作會傳回所有類型的發現項目。 |
| 嚴重性 | 字串 | 4 | 否 | 要搜尋的發現項目嚴重性 - 高、中或低。 參數接受以半形逗號分隔的多個值。 如未指定,動作會傳回所有發現項目,不論嚴重程度為何。 |
| 是否要包含已封存的發現項目? | 核取方塊 | 已取消勾選 | 否 | 指定是否要在結果中納入已封存的發現項目。 |
| 時間範圍 | 整數 | 4 | 否 | 指定要擷取發現項目的時間範圍 (以小時為單位)。 |
| 記錄限制 | 整數 | 20 | 否 | 指定動作可傳回的記錄數。 |
| 排序依據 | 字串 | 不適用 | 否 | 指定排序資料的參數。 例如:updatedAt |
| 排列順序 | DDL | 遞增 | 否 | 排序順序。 |
用途
列出 Amazon Macie 發現項目,查看有哪些發現項目。
執行日期
這項操作不會對實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 結果
{
"ResponseMetadata":{
"HTTPHeaders":{
"connection":"keep-alive",
"content-length":"2741",
"content-type":"application/json",
"date":"Thu, 22 Oct 2020 11:08:58 GMT",
"x-amz-apigw-id":"ID",
"x-amzn-remapped-content-length":"2741",
"x-amzn-remapped-date":"Thu, 22 Oct ""2020 11:08:57 ""GMT",
"x-amzn-remapped-x-amzn-requestid":"eaea00d2-11f8-40d8-adce-f6c9f17e9815",
"x-amzn-requestid":"4102349a-a5da-4bfc-ad78-40f48885985f"
},
"HTTPStatusCode":200,
"RequestId":"4102349a-a5da-4bfc-ad78-40f48885985f",
"RetryAttempts":0
},
"findings":[
{
"accountId":"ACCOUNT_ID",
"archived":false,
"category":"CLASSIFICATION",
"classificationDetails":{
"detailedResultsLocation":"s3://[export-config-not-set]/AWSLogs/ACCOUNT_ID/Macie/us-east-1/",
"jobArn":"arn:aws:macie2:us-east-1",
"jobId":"088009521d393eda440a24f3c7ad8fbd",
"result":{
"additionalOccurrences":false,
"customDataIdentifiers":{
"detections":[
],
"totalCount":0
},
"mimeType":"application/zip",
"sensitiveData":[
{
"category":"PERSONAL_INFORMATION",
"detections":[
{
"count":80,
"type":"PHONE_NUMBER"
},
{
"count":5,
"type":"ADDRESS"
},
{
"count":207,
"type":"NAME"
}
],
"totalCount":292
},
{
"category":"CREDENTIALS",
"detections":[
{
"count":5,
"type":"AWS_CREDENTIALS"
}
],
"totalCount":5
}
],
"sizeClassified":44213802,
"status":{
"code":"PARTIAL",
"reason":"ARCHIVE_CONTAINS_UNPROCESSED_FILES"
}
}
},
"count":1,
"createdAt":datetime.datetime(2020,
10,
22,
3,
12,
9,
364000,
"tzinfo=tzutc())",
"description":"The object contains more than one type of ""sensitive information.",
"id":"FINDING_ID",
"partition":"aws",
"region":"us-east-1",
"resourcesAffected":{
"s3Bucket":{
"arn":"arn:aws:s3:::testexample",
"createdAt":datetime.datetime(2020,
9,
14,
10,
31,
56,
"tzinfo=tzutc())",
"defaultServerSideEncryption":{
"encryptionType":"NONE"
},
"name":"testexample",
"owner":{
"displayName":"lab_aws",
"id":"OWNER_ID"
},
"publicAccess":{
"effectivePermission":"PUBLIC",
"permissionConfiguration":{
"accountLevelPermissions":{
"blockPublicAccess":{
"blockPublicAcls":false,
"blockPublicPolicy":false,
"ignorePublicAcls":false,
"restrictPublicBuckets":false
}
},
"bucketLevelPermissions":{
"accessControlList":{
"allowsPublicReadAccess":false,
"allowsPublicWriteAccess":false
},
"blockPublicAccess":{
"blockPublicAcls":false,
"blockPublicPolicy":false,
"ignorePublicAcls":false,
"restrictPublicBuckets":false
},
"bucketPolicy":{
"allowsPublicReadAccess":true,
"allowsPublicWriteAccess":false
}
}
}
},
"tags":[
]
},
"s3Object":{
"bucketArn":"arn:aws:s3:::testsiemplify",
"eTag":"8dfbe2ba101b3ca0a62f8fde823503b4-5",
"extension":"zip",
"key":"awscliv2.zip",
"lastModified":datetime.datetime(2020,
9,
28,
18,
47,
30,
"tzinfo=tzutc())",
"path":"testexample/awscliv2.zip",
"publicAccess":false,
"serverSideEncryption":{
"encryptionType":"NONE"
},
"size":33775890,
"storageClass":"STANDARD",
"tags":[
],
"versionId":""
}
},
"sample":false,
"schemaVersion":"1.0",
"severity":{
"description":"High",
"score":3
},
"title":"The S3 object contains multiple types of sensitive ""information.",
"type":"SensitiveData:S3Object/Multiple",
"updatedAt":datetime.datetime(2020,
10,
22,
3,
12,
9,
364000,
"tzinfo=tzutc())"
}
]
}
案件總覽
| 結果類型 | 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功: 「找到 Amazon Macie 發現項目」 如果 is_success=False,例如找不到任何發現項目: 「No findings were returned.」 動作應會失敗並停止執行應對手冊: 如果系統回報重大錯誤,例如憑證錯誤或連線中斷: 「Failed to connect to the Amazon Macie service! Error is {0}".format(exception.stacktrace) |
一般 |
| 資料表 | 表格名稱:Amazon Macie Findings 資料表資料欄:
|
一般 |
取得發現項目
根據指定的發現項目 ID 取得 Amazon Macie 發現項目。
參數
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 發現項目 ID | 字串 | 不適用 | 是 | 找出要取得詳細資料的 ID。 參數可以採用以半形逗號分隔的字串形式,接受多個值。 |
應用實例
分析快訊時,取得發現項目的詳細資料。在這種情況下,搜尋結果不會像從連接器取得的結果一樣「平坦」,而且處理搜尋資料可能更容易。
執行日期
這項操作不會對實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 結果
{
"Policy": {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AddPerm",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::testexample/*"
}
]
}
案件總覽
| 結果類型 | 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功: 「找到 Amazon Macie 發現項目」 如果 is_success=False,例如找不到任何發現項目: 「No findings were returned.」 動作應會失敗並停止執行應對手冊: 如果系統回報重大錯誤,例如憑證錯誤或連線中斷: 「Failed to connect to the Amazon Macie service! Error is {0}".format(exception.stacktrace) |
一般 |
| 資料表 | 表格名稱:Amazon Macie Findings 資料表資料欄: |
一般 |
建立自訂資料 ID
建立 Amazon Macie 自訂資料 ID。
參數
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 自訂資料 ID 名稱 | 字串 | 不適用 | 是 | Amazon Macie 新自訂資料 ID 名稱。 |
| 自訂資料 ID 說明 | 字串 | 不適用 | 否 | Amazon Macie 新自訂資料 ID 說明。 |
| 自訂資料 ID 規則運算式 | 字串 | 不適用 | 是 | Amazon Macie 新的自訂資料 ID 規則運算式。例如:I[a@]mAB[a@]dRequest |
| 自訂資料 ID 關鍵字 | 字串 | 不適用 | 否 | Amazon Macie 新的自訂資料 ID 關鍵字。 |
| 自訂資料 ID 忽略字詞 | 字串 | 不適用 | 否 | Amazon Macie 新的自訂資料 ID 忽略字詞。 |
| 自訂資料 ID 最遠比對距離 | 整數 | 50 | 否 | Amazon Macie 新的自訂資料 ID 最長比對距離。 |
用途
根據觀察到的資料建立 Amazon Macie 自訂資料 ID,以便稍後在分類作業中使用新的自訂資料 ID。
執行日期
這項操作不會對實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 結果
{
"ResponseMetadata":{
"HTTPHeaders":{
"connection":"keep-alive",
"content-length":"65",
"content-type":"application/json",
"date":"Mon, 26 Oct 2020 05:15:07 GMT",
"x-amz-apigw-id":"ID",
"x-amzn-remapped-content-length":"65",
"x-amzn-remapped-date":"Mon, 26 Oct ""2020 05:15:07 ""GMT",
"x-amzn-remapped-x-amzn-requestid":"61217a30-189e-4573-9f76-257b7065a04d",
"x-amzn-requestid":"509e1c12-ab86-459e-9d6d-790a359686b2"
},
"HTTPStatusCode":200,
"RequestId":"509e1c12-ab86-459e-9d6d-790a359686b2",
"RetryAttempts":0
},
"customDataIdentifierId":"ff43487b-5643-4de1-b651-9ecbeb3021ed"
}
案件總覽
| 結果類型 | 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功: 「New Amazon Macie custom data identifier created: {0}」(已建立新的 Amazon Macie 自訂資料 ID)。format(new identifier_id from response) 如果 is_success=False,例如找不到任何發現項目: 「Failed to create Amazon Macie Identifier. 錯誤為:{0}".format(error from response) 動作應會失敗並停止執行應對手冊: 如果系統回報重大錯誤,例如憑證錯誤或連線中斷: 「Failed to connect to the Amazon Macie service! Error is {0}".format(exception.stacktrace) |
一般 |
刪除自訂資料 ID
刪除 Amazon Macie 自訂資料 ID。
參數
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 自訂資料 ID ID | 字串 | 不適用 | 否 | 要刪除的 Amazon Macie 自訂資料 ID。 |
應用實例
刪除 Amazon Macie 自訂資料 ID。
執行日期
這項操作不會對實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
案件總覽
| 結果類型 | 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功: 「Amazon Macie custom data identifier {0} deleted」(已刪除 Amazon Macie 自訂資料 ID「{0}」)。format(custom data identifier id) 如果 is_success=False,例如找不到任何發現項目: 「Failed to delete Amazon Macie Identifier {0}. 錯誤為:{1}".format(custom data identifier id, error from response) 動作應會失敗並停止執行應對手冊: 如果系統回報重大錯誤,例如憑證錯誤或連線中斷: 「Failed to connect to the Amazon Macie service! Error is {0}".format(exception.stacktrace) |
一般 |
啟用 Macie
啟用 Amazon Macie 服務。
參數
不適用
用途
服務窗口完成後,啟用 Amazon Macie。
執行日期
這項操作不會對實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
案件總覽
| 結果類型 | 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功: 「Successfully enabled Amazon Macie service」(已成功啟用 Amazon Macie 服務) 如果 is_success=False: 「Failed to enable Amazon Macie service. 錯誤為:{0}".format(error from response) 動作應會失敗並停止執行應對手冊: 如果系統回報重大錯誤,例如憑證錯誤或連線中斷:「Failed to connect to the Amazon Macie service! Error is {0}".format(exception.stacktrace) |
一般 |
停用 Macie
停用 Amazon Macie 服務。
應用實例
在服務時間範圍內停用 Amazon Macie,以便在 AWS 值區中進行變更,且不會造成大量誤判。
執行日期
這項操作不會對實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
案件總覽
| 結果類型 | 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功: 「Successfully disabled Amazon Macie service」(已成功停用 Amazon Macie 服務) 如果 is_success=False: 「Failed to disable Amazon Macie service. 錯誤為:{0}".format(error from response) 動作應會失敗並停止執行應對手冊: 如果系統回報重大錯誤,例如憑證錯誤或連線中斷: 「Failed to connect to the Amazon Macie service! Error is {0}".format(exception.stacktrace) |
一般 |
連接器
如要進一步瞭解如何在 Google SecOps 中設定連接器,請參閱「擷取資料 (連接器)」。
Amazon Macie - Findings Connector
擷取 Amazon Macie 發現項目。
連接器參數
請使用下列參數設定連接器:
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | 不適用 | 是 |
儲存產品名稱的欄位名稱。 產品名稱主要會影響對應。為簡化及改善連接器的對應程序,預設值會解析為程式碼參照的回退值。這個參數的任何無效輸入內容,預設都會解析為備用值。 預設值為 |
| 事件欄位名稱 | 字串 | 不適用 | 是 | 決定事件名稱 (子類型) 的欄位名稱。 |
| 環境欄位名稱 | 字串 | 不適用 | 否 | 儲存環境名稱的欄位名稱。 如果缺少環境欄位,連接器會使用預設值。 |
Environment Regex Pattern |
字串 | 不適用 | 否 |
要在「 使用預設值 如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| 指令碼逾時 (秒) | 整數 | 180 | 是 | 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 |
| AWS 存取金鑰 ID | 字串 | 不適用 | 是 | 用於整合的 AWS 存取金鑰 ID。 |
| AWS 密鑰 | 密碼 | 不適用 | 是 | 用於整合的 AWS 私密金鑰。 |
| AWS 預設區域 | 字串 | 不適用 | 是 | 要在整合中使用的 AWS 預設區域,例如 us-west-2。 |
| 要擷取的發現項目嚴重性 | 字串 | 不適用 | 否 | 要擷取的發現項目嚴重程度 - 參數接受以半形逗號分隔的多個值。 如果未指定任何內容,連接器會擷取所有發現項目,無論嚴重程度為何。 |
| 要擷取的發現項目數量上限 | 整數 | 50 | 否 | 每個連接器疊代要處理的發現項目數量。 |
| Fetch Max Hours Backwards | 整數 | 1 | 否 | 擷取快訊的小時數 (以目前時間為準)。 這個參數可套用至首次啟用連接器後的初始連接器疊代,或套用至過期連接器時間戳記的回溯值。 |
Use whitelist as a blacklist |
核取方塊 | 已取消勾選 | 是 | 如果選取這個選項,連接器會將動態清單做為封鎖清單。 |
| Proxy 伺服器位址 | 字串 | 不適用 | 否 | 要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 字串 | 不適用 | 否 | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 密碼 | 不適用 | 否 | 用於驗證的 Proxy 密碼。 |
連接器規則
封鎖清單預設為停用。
連接器支援動態清單,只會擷取特定類型的發現項目。
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。