Integrar a Central de segurança da AWS ao Google SecOps
Este documento explica como integrar o AWS Security Hub ao Google Security Operations (Google SecOps).
Versão da integração: 8.0
Casos de uso
No Google SecOps, a integração do AWS Security Hub pode ajudar você a resolver os seguintes casos de uso:
Enriquecimento automático de incidentes:use os recursos do Google SecOps para recuperar automaticamente o contexto relevante de outros serviços da AWS, como registros de fluxo da VPC, descobertas do GuardDuty e registros do CloudTrail, quando um possível ocorrência de segurança é detectado no Security Hub. O enriquecimento automatizado de incidentes ajuda os analistas a entender rapidamente o escopo e o possível impacto do incidente.
Correção priorizada:use os recursos do Google SecOps para acionar respostas automatizadas às descobertas do Security Hub com base em playbooks predefinidos. Por exemplo, uma descoberta de alta gravidade relacionada a um bucket do S3 exposto pode acionar automaticamente um playbook para corrigir a configuração incorreta e notificar as equipes adequadas.
Integração de inteligência contra ameaças:use os recursos do Google SecOps para integrar feeds de inteligência contra ameaças e fazer referência cruzada dos resultados do Security Hub com indicadores maliciosos conhecidos. A integração de inteligência de ameaças permite que os analistas identifiquem e priorizem ameaças de alto risco que exigem atenção imediata.
Relatórios e auditorias de compliance:use os recursos do Google SecOps para agregar e normalizar dados de segurança do Security Hub e de outras fontes para simplificar os relatórios de compliance.
Gerenciamento de vulnerabilidades:use os recursos do Google SecOps para automatizar o processo de triagem, priorização e correção de vulnerabilidades integrando-se aos recursos de verificação de vulnerabilidades do AWS Security Hub. O gerenciamento de vulnerabilidades ajuda a reduzir a superfície de ataque e melhorar a postura geral de segurança da sua organização.
Antes de começar
Para que a integração funcione corretamente, configure uma política personalizada de identidade e acesso na AWS.
Para mais informações sobre como criar políticas personalizadas na AWS, consulte Como criar políticas usando o editor JSON na documentação da AWS.
Para configurar as permissões necessárias para a integração do AWS Security Hub e definir a política personalizada, use o seguinte código:
{
"Sid": "SecurityHubServiceRolePermissions",
"Effect": "Allow",
"Action": [
"securityhub:GetMasterAccount",
"securityhub:GetInsightResults",
"securityhub:CreateInsight",
"securityhub:UpdateInsight",
"securityhub:BatchUpdateFindings",
"securityhub:GetFindings",
"securityhub:GetInsight",
"securityhub:DescribeHub",
],
"Resource": "*"
}
Para mais informações sobre como configurar permissões, consulte Política gerenciada pela AWS:
AWSSecurityHubServiceRolePolicy
na documentação da AWS.
Parâmetros de integração
A integração do AWS Security Hub exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
AWS Access Key ID |
Obrigatório
O ID da chave de acesso da AWS a ser usado na integração. |
AWS Secret Key |
Obrigatório A chave secreta da AWS a ser usada na integração. |
AWS Default Region |
Obrigatório A região padrão da AWS a ser usada na integração, como |
Você pode fazer mudanças mais tarde, se necessário. Depois de configurar instâncias, você pode usá-las em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.
Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Trabalhar com o parâmetro "Objeto JSON de filtro"
Para as ações Criar insight e Atualizar insight, é possível configurar filtros para descobertas.
Para criar um insight no AWS Security Hub, aplique filtros às descobertas disponíveis no sistema.
A estrutura do filtro com todas as configurações possíveis é esta:
{
"ProductArn": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"AwsAccountId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Id": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"GeneratorId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Type": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"FirstObservedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"LastObservedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"CreatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"UpdatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"SeverityProduct": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"SeverityNormalized": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"SeverityLabel": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Confidence": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"Criticality": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"Title": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Description": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"RecommendationText": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"SourceUrl": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ProductFields": [
{
"Key": "string",
"Value": "string",
"Comparison": "EQUALS"|"NOT_EQUALS"
}
],
"ProductName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"CompanyName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"UserDefinedFields": [
{
"Key": "string",
"Value": "string",
"Comparison": "EQUALS"|"NOT_EQUALS"
}
],
"MalwareName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"MalwareType": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"MalwarePath": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"MalwareState": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkDirection": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkProtocol": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkSourceIpV4": [
{
"Cidr": "string"
}
],
"NetworkSourceIpV6": [
{
"Cidr": "string"
}
],
"NetworkSourcePort": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"NetworkSourceDomain": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkSourceMac": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkDestinationIpV4": [
{
"Cidr": "string"
}
],
"NetworkDestinationIpV6": [
{
"Cidr": "string"
}
],
"NetworkDestinationPort": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"NetworkDestinationDomain": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ProcessName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ProcessPath": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ProcessPid": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"ProcessParentPid": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"ProcessLaunchedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ProcessTerminatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ThreatIntelIndicatorType": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ThreatIntelIndicatorValue": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ThreatIntelIndicatorCategory": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ThreatIntelIndicatorLastObservedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ThreatIntelIndicatorSource": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ThreatIntelIndicatorSourceUrl": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceType": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourcePartition": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceRegion": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceTags": [
{
"Key": "string",
"Value": "string",
"Comparison": "EQUALS"|"NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceType": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceImageId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceIpV4Addresses": [
{
"Cidr": "string"
}
],
"ResourceAwsEc2InstanceIpV6Addresses": [
{
"Cidr": "string"
}
],
"ResourceAwsEc2InstanceKeyName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceIamInstanceProfileArn": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceVpcId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceSubnetId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceLaunchedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ResourceAwsS3BucketOwnerId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsS3BucketOwnerName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsIamAccessKeyUserName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsIamAccessKeyStatus": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsIamAccessKeyCreatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ResourceContainerName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceContainerImageId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceContainerImageName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceContainerLaunchedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ResourceDetailsOther": [
{
"Key": "string",
"Value": "string",
"Comparison": "EQUALS"|"NOT_EQUALS"
}
],
"ComplianceStatus": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"VerificationState": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"WorkflowState": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"WorkflowStatus": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"RecordState": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"RelatedFindingsProductArn": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"RelatedFindingsId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NoteText": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NoteUpdatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"NoteUpdatedBy": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Keyword": [
{
"Value": "string"
}
]
}
Confira um exemplo de filtro que retorna apenas descobertas com gravidade crítica:
{
"SeverityLabel": [
{
"Value": "CRITICAL",
"Comparison": "EQUALS"
}
]
}
Ações
Para funcionar corretamente, as ações do AWS Security Hub exigem que você configure permissões específicas. Para mais informações sobre as permissões da integração, consulte a seção Antes de começar deste documento.
Criar insight
Use a ação Criar insight para criar um insight no AWS Security Hub.
Entradas de ação
A ação Criar insight exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Insight Name |
Obrigatório É o nome do insight. |
Group By Attribute |
Obrigatório O nome do atributo para agrupar as descobertas. A ação agrupa as descobertas em um único insight. O valor padrão é Os valores possíveis são:
|
Filter JSON Object |
Obrigatório Um filtro a ser aplicado às descobertas. O filtro é um objeto JSON que permite especificar diferentes atributos e valores. Para mais detalhes sobre a configuração do filtro, consulte a seção Trabalhar com o parâmetro Objeto JSON de filtro deste documento. |
Saídas de ação
A ação Criar insight fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Criar insight:
{
"InsightArn": "arn:aws:securityhub:ID",
}
Mensagens de saída
A ação Criar insight pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Create Insight". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Criar insight:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Receber detalhes do insight
Use a ação Receber detalhes do insight para retornar informações detalhadas sobre insights no AWS Security Hub.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Receber detalhes do insight exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Insight ARN |
Obrigatório O nome do recurso da Amazon (ARN) do insight. |
Max Results To Return |
Obrigatório O número de resultados a serem mostrados. O valor padrão é 50. |
Saídas de ação
A ação Receber detalhes do insight fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Tabela do painel de casos
A ação Receber detalhes do insight pode retornar a seguinte tabela no Google SecOps:
Nome da tabela: Objetos do bucket "NUMBER_OF_OBJECTS"
Colunas:
- Nome (mapeado como
GroupByAttributeValue) - Contagem (mapeada como
Count)
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber detalhes do insight:
"InsightResults": {
"InsightArn": "arn:aws:securityhub:ID",
"GroupByAttribute": "ResourceId",
"ResultValues": [
{
"GroupByAttributeValue": "arn:aws:s3:::int-arcsight-v-27-0-getreportstatus",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-arcsight-v-27-0-searchactionbug",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-arcsight-v-27-0-unicodeandlogs",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-automation-v-1-0",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-awss3-v-1-0",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-azureactivedirectory-v-4-0",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-bootcamp-v-1-0",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-categories",
"Count": 5
}
]
}
Mensagens de saída
A ação Receber detalhes do insight pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Get Insight Details". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber detalhes do insight:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Ping
Use a ação Ping para testar a conectividade com o AWS Security Hub.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
Nenhuma.
Saídas de ação
A ação Ping fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Ping pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Failed to connect to the AWS Security Hub! Error is
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Atualizar resultado
Use a ação Atualizar descoberta para atualizar as descobertas na Central de segurança da AWS.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Atualizar descoberta exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
ID |
Obrigatório O ID da descoberta a ser atualizada. |
Product ARN |
Obrigatório O ARN do produto da descoberta a ser atualizada. |
Note |
Opcional Um novo texto para a nota da descoberta. Se você configurar esse parâmetro, configure também o parâmetro |
Note Author |
Opcional o autor da observação. Se você configurar esse parâmetro, configure também o parâmetro |
Severity |
Opcional Uma nova gravidade para a descoberta. Os valores possíveis são:
|
Verification State |
Opcional Um novo estado de verificação para a descoberta. Os valores possíveis são:
|
Confidence |
Opcional Um novo nível de confiança para a descoberta. O valor máximo é 100. |
Criticality |
Opcional Uma nova gravidade para a descoberta. O valor máximo é 100. |
Types |
Opcional Uma lista separada por vírgulas de tipos para a descoberta,
como |
Workflow Status |
Opcional Um novo status de fluxo de trabalho para a descoberta. Os valores possíveis são:
|
Custom Fields |
Opcional Os campos personalizados de descoberta a serem atualizados, como
|
Saídas de ação
A ação Atualizar descoberta fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Atualizar descoberta pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Update Findings". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Atualizar descoberta:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Atualizar insight
Use a ação Atualizar insight para atualizar um insight no AWS Security Hub.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Atualizar insight exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Insight ARN |
Obrigatório O ARN do insight. |
Insight Name |
Opcional É o nome do insight. |
Group By Attribute |
Opcional O nome do atributo para agrupar as descobertas. A ação agrupa as descobertas em um único insight. O valor padrão é Os valores possíveis são:
|
Filter JSON Object |
Opcional Um filtro a ser aplicado às descobertas. O filtro é um objeto JSON que permite especificar diferentes atributos e valores. Para mais detalhes sobre a configuração do filtro, consulte a seção Trabalhar com o parâmetro Objeto JSON de filtro deste documento. |
Saídas de ação
A ação UpdateInsight fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Atualizar insight pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Update Insight". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Atualizar insight:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Conectores
Para mais informações sobre como configurar conectores no Google SecOps, consulte Ingerir seus dados (conectores).
AWS Security Hub – Findings Connector
Use o Conector de descobertas da Central de segurança da AWS para recuperar descobertas da Central de segurança da AWS.
O conector exige os seguintes parâmetros:
| Parâmetros | Descrição |
|---|---|
Product Field Name |
Obrigatório
O nome do campo em que o nome do produto é armazenado. O valor padrão é |
Event Field Name |
Obrigatório
O nome do campo usado para determinar o nome do evento (subtipo). O valor padrão é |
Environment Field Name |
Opcional
O nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão. O valor padrão é |
Environment Regex Pattern |
Opcional
Um padrão de expressão regular a ser executado no valor encontrado no campo Use o valor padrão Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
Script Timeout (Seconds) |
Obrigatório
O limite de tempo limite para o processo Python que executa o script atual. O valor padrão é 180. |
AWS Access Key ID |
Obrigatório
O ID da chave de acesso da AWS a ser usado na integração. |
AWS Secret Key |
Obrigatório A chave secreta da AWS a ser usada na integração. |
AWS Default Region |
Obrigatório A região padrão da AWS a ser usada na integração, como |
Lowest Severity To Fetch |
Obrigatório
A menor gravidade das descobertas a serem buscadas. Os valores possíveis são:
Medium. |
Fetch Max Hours Backwards |
Opcional O número de horas antes da primeira iteração do conector para recuperar os incidentes. Esse parâmetro se aplica apenas uma vez à iteração inicial do conector depois que você o ativa pela primeira vez. O valor padrão é 1 hora. |
Max Findings To Fetch |
Opcional
O número de descobertas a serem processadas em uma iteração do conector. O valor padrão é 50. |
Use whitelist as a blacklist |
Obrigatório
Se selecionado, o conector usa a lista dinâmica como uma lista de bloqueio. Não selecionada por padrão. |
Verify SSL |
Obrigatório
Se selecionada, a Google SecOps verifica se o certificado SSL para a conexão com o servidor do AWS Security Hub é válido. Essa opção é selecionada por padrão. |
Proxy Server Address |
Opcional O endereço do servidor proxy a ser usado. |
Proxy Username |
Opcional O nome de usuário do proxy para autenticação. |
Proxy Password |
Opcional A senha do proxy para autenticação. |
Regras do conector
O Conector de descobertas da Central de segurança da AWS é compatível com proxies.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.