AWS Security Hub in Google SecOps einbinden
In diesem Dokument wird beschrieben, wie Sie AWS Security Hub in Google Security Operations (Google SecOps) einbinden.
Integrationsversion: 8.0
Anwendungsfälle
In Google SecOps kann die AWS Security Hub-Integration Ihnen bei den folgenden Anwendungsfällen helfen:
Automatisierte Vorfallanreicherung:Mit den Google SecOps-Funktionen können Sie automatisch relevanten Kontext aus anderen AWS-Diensten wie VPC-Flusslogs, GuardDuty-Ergebnissen und CloudTrail-Logs abrufen, wenn in Security Hub ein potenzielles Sicherheitsereignis erkannt wird. Die automatische Vorfallanreicherung kann Analysten helfen, den Umfang und die potenziellen Auswirkungen des Vorfalls schnell zu erfassen.
Priorisierte Abhilfemaßnahmen:Mit den Google SecOps-Funktionen können Sie automatisierte Reaktionen auf Security Hub-Ergebnisse basierend auf vordefinierten Playbooks auslösen. Beispielsweise kann ein Playbook automatisch ausgelöst werden, wenn ein Problem mit hohem Schweregrad im Zusammenhang mit einem offengelegten S3-Bucket gefunden wird. Das Playbook behebt dann die Fehlkonfiguration und benachrichtigt die entsprechenden Teams.
Integration von Threat Intelligence:Nutzen Sie die Google SecOps-Funktionen, um Threat Intelligence-Feeds zu integrieren und Security Hub-Ergebnisse mit bekannten bösartigen Indikatoren abzugleichen. Durch die Integration von Threat Intelligence können Analysten risikoreiche Bedrohungen, die sofortige Aufmerksamkeit erfordern, identifizieren und priorisieren.
Complianceberichte und ‑prüfungen:Mit den Google SecOps-Funktionen können Sie Sicherheitsdaten aus Security Hub und anderen Quellen zusammenfassen und normalisieren, um die Complianceberichterstellung zu vereinfachen.
Schwachstellenmanagement:Nutzen Sie die Google SecOps-Funktionen, um den Prozess der Triage, Priorisierung und Behebung von Schwachstellen zu automatisieren, indem Sie sie in die Funktionen zum Scannen von Schwachstellen in AWS Security Hub einbinden. Das Management von Sicherheitslücken kann Ihnen helfen, die Angriffsfläche zu verringern und die allgemeine Sicherheitslage Ihres Unternehmens zu verbessern.
Hinweise
Damit die Integration ordnungsgemäß funktioniert, müssen Sie in AWS eine benutzerdefinierte Identitäts- und Zugriffsrichtlinie konfigurieren.
Weitere Informationen zum Erstellen benutzerdefinierter Richtlinien in AWS finden Sie in der AWS-Dokumentation unter Richtlinien mit dem JSON-Editor erstellen.
Verwenden Sie den folgenden Code, um die für die AWS Security Hub-Integration erforderlichen Berechtigungen zu konfigurieren und die benutzerdefinierte Richtlinie festzulegen:
{
"Sid": "SecurityHubServiceRolePermissions",
"Effect": "Allow",
"Action": [
"securityhub:GetMasterAccount",
"securityhub:GetInsightResults",
"securityhub:CreateInsight",
"securityhub:UpdateInsight",
"securityhub:BatchUpdateFindings",
"securityhub:GetFindings",
"securityhub:GetInsight",
"securityhub:DescribeHub",
],
"Resource": "*"
}
Weitere Informationen zum Konfigurieren von Berechtigungen finden Sie in der AWS-Dokumentation unter Von AWS verwaltete Richtlinie: AWSSecurityHubServiceRolePolicy.
Integrationsparameter
Für die AWS Security Hub-Integration sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
AWS Access Key ID |
Erforderlich
Die AWS-Zugriffsschlüssel-ID, die in der Integration verwendet werden soll. |
AWS Secret Key |
Erforderlich Der geheime AWS-Schlüssel, der in der Integration verwendet werden soll. |
AWS Default Region |
Erforderlich Die AWS-Standardregion, die in der Integration verwendet werden soll, z. B. |
Sie können bei Bedarf später Änderungen vornehmen. Nachdem Sie Instanzen konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Mit dem Parameter „Filter JSON Object“ arbeiten
Für die Aktionen Create Insight und Update Insight können Sie Filter für Ergebnisse konfigurieren.
Um eine Übersicht in AWS Security Hub zu erstellen, wenden Sie Filter für die im System verfügbaren Ergebnisse an.
Die Struktur des Filters mit allen möglichen Konfigurationen sieht so aus:
{
"ProductArn": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"AwsAccountId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Id": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"GeneratorId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Type": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"FirstObservedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"LastObservedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"CreatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"UpdatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"SeverityProduct": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"SeverityNormalized": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"SeverityLabel": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Confidence": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"Criticality": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"Title": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Description": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"RecommendationText": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"SourceUrl": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ProductFields": [
{
"Key": "string",
"Value": "string",
"Comparison": "EQUALS"|"NOT_EQUALS"
}
],
"ProductName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"CompanyName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"UserDefinedFields": [
{
"Key": "string",
"Value": "string",
"Comparison": "EQUALS"|"NOT_EQUALS"
}
],
"MalwareName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"MalwareType": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"MalwarePath": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"MalwareState": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkDirection": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkProtocol": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkSourceIpV4": [
{
"Cidr": "string"
}
],
"NetworkSourceIpV6": [
{
"Cidr": "string"
}
],
"NetworkSourcePort": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"NetworkSourceDomain": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkSourceMac": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkDestinationIpV4": [
{
"Cidr": "string"
}
],
"NetworkDestinationIpV6": [
{
"Cidr": "string"
}
],
"NetworkDestinationPort": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"NetworkDestinationDomain": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ProcessName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ProcessPath": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ProcessPid": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"ProcessParentPid": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"ProcessLaunchedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ProcessTerminatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ThreatIntelIndicatorType": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ThreatIntelIndicatorValue": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ThreatIntelIndicatorCategory": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ThreatIntelIndicatorLastObservedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ThreatIntelIndicatorSource": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ThreatIntelIndicatorSourceUrl": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceType": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourcePartition": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceRegion": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceTags": [
{
"Key": "string",
"Value": "string",
"Comparison": "EQUALS"|"NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceType": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceImageId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceIpV4Addresses": [
{
"Cidr": "string"
}
],
"ResourceAwsEc2InstanceIpV6Addresses": [
{
"Cidr": "string"
}
],
"ResourceAwsEc2InstanceKeyName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceIamInstanceProfileArn": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceVpcId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceSubnetId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceLaunchedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ResourceAwsS3BucketOwnerId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsS3BucketOwnerName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsIamAccessKeyUserName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsIamAccessKeyStatus": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsIamAccessKeyCreatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ResourceContainerName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceContainerImageId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceContainerImageName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceContainerLaunchedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ResourceDetailsOther": [
{
"Key": "string",
"Value": "string",
"Comparison": "EQUALS"|"NOT_EQUALS"
}
],
"ComplianceStatus": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"VerificationState": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"WorkflowState": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"WorkflowStatus": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"RecordState": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"RelatedFindingsProductArn": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"RelatedFindingsId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NoteText": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NoteUpdatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"NoteUpdatedBy": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Keyword": [
{
"Value": "string"
}
]
}
Ein Beispiel für einen Filter, der nur Ergebnisse mit dem Schweregrad „Kritisch“ zurückgibt, ist:
{
"SeverityLabel": [
{
"Value": "CRITICAL",
"Comparison": "EQUALS"
}
]
}
Aktionen
Damit die AWS Security Hub-Aktionen ordnungsgemäß funktionieren, müssen Sie bestimmte Berechtigungen konfigurieren. Weitere Informationen zu den Berechtigungen für die Integration finden Sie in diesem Dokument im Abschnitt Vorbereitung.
Insight erstellen
Verwenden Sie die Aktion Create Insight (Erkenntnisse erstellen), um eine Erkenntnis in AWS Security Hub zu erstellen.
Aktionseingaben
Für die Aktion Create Insight sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Insight Name |
Erforderlich Der Name der Statistik. |
Group By Attribute |
Erforderlich Der Name des Attributs, nach dem die Ergebnisse gruppiert werden sollen. Durch die Aktion werden die Ergebnisse unter einem Insight gruppiert. Der Standardwert ist Folgende Werte sind möglich:
|
Filter JSON Object |
Erforderlich Ein Filter, der auf Ergebnisse angewendet werden soll. Der Filter ist ein JSON-Objekt, mit dem Sie verschiedene Attribute und Werte angeben können. Weitere Informationen zur Filterkonfiguration finden Sie in diesem Dokument im Abschnitt Mit dem Parameter „Filter JSON Object“ arbeiten. |
Aktionsausgaben
Die Aktion Insight erstellen liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Create Insight empfangen wird:
{
"InsightArn": "arn:aws:securityhub:ID",
}
Ausgabemeldungen
Die Aktion Create Insight kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Create Insight". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Create Insight verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Statistikdetails abrufen
Verwenden Sie die Aktion Get Insight Details (Insight-Details abrufen), um detaillierte Informationen zu Insights in AWS Security Hub zurückzugeben.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Get Insight Details sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Insight ARN |
Erforderlich Der Amazon Resource Name (ARN) der Statistik. |
Max Results To Return |
Erforderlich Die Anzahl der zurückzugebenden Ergebnisse. Der Standardwert ist 50. |
Aktionsausgaben
Die Aktion Get Insight Details (Insight-Details abrufen) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Tabelle „Fall-Repository“
Mit der Aktion Get Insight Details (Statistikdetails abrufen) kann die folgende Tabelle in Google SecOps zurückgegeben werden:
Tabellenname: Bucket-Objekte'NUMBER_OF_OBJECTS'
Spalten:
- Name (zugeordnet als
GroupByAttributeValue) - Anzahl (als
Countzugeordnet)
JSON-Ergebnis
Im folgenden Beispiel sehen Sie die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Insight Details (Details zu Statistiken abrufen) empfangen wird:
"InsightResults": {
"InsightArn": "arn:aws:securityhub:ID",
"GroupByAttribute": "ResourceId",
"ResultValues": [
{
"GroupByAttributeValue": "arn:aws:s3:::int-arcsight-v-27-0-getreportstatus",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-arcsight-v-27-0-searchactionbug",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-arcsight-v-27-0-unicodeandlogs",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-automation-v-1-0",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-awss3-v-1-0",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-azureactivedirectory-v-4-0",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-bootcamp-v-1-0",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-categories",
"Count": 5
}
]
}
Ausgabemeldungen
Die Aktion Get Insight Details (Insight-Details abrufen) kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Get Insight Details". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Insight Details verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Ping
Verwenden Sie die Aktion Ping, um die Verbindung zu AWS Security Hub zu testen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Ping bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabemeldungen
Die Aktion Ping kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Failed to connect to the AWS Security Hub! Error is
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Ergebnisse aktualisieren
Verwenden Sie die Aktion Update Finding (Befund aktualisieren), um Befunde in AWS Security Hub zu aktualisieren.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Update Finding sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
ID |
Erforderlich Die ID des zu aktualisierenden Ergebnisses. |
Product ARN |
Erforderlich Die Produkt-ARN des zu aktualisierenden Befunds. |
Note |
Optional Ein neuer Text für die Notiz zum Ergebnis. Wenn Sie diesen Parameter konfigurieren, müssen Sie auch den Parameter |
Note Author |
Optional Der Autor des Hinweises. Wenn Sie diesen Parameter konfigurieren, konfigurieren Sie auch den Parameter |
Severity |
Optional Ein neuer Schweregrad für das Ergebnis. Folgende Werte sind möglich:
|
Verification State |
Optional Ein neuer Bestätigungsstatus für das Problem. Folgende Werte sind möglich:
|
Confidence |
Optional Ein neues Konfidenzniveau für den Befund. Der Höchstwert ist 100. |
Criticality |
Optional Eine neue Kritikalität für das Ergebnis. Der Höchstwert ist 100. |
Types |
Optional Eine durch Kommas getrennte Liste der Typen für den Befund, z. B. |
Workflow Status |
Optional Ein neuer Workflow-Status für das Ergebnis. Folgende Werte sind möglich:
|
Custom Fields |
Optional Die benutzerdefinierten Felder, die aktualisiert werden sollen, z. B. |
Aktionsausgaben
Die Aktion Update Finding (Ergebnis aktualisieren) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabemeldungen
Die Aktion Update Finding kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Update Findings". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Update Finding aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Insight aktualisieren
Verwenden Sie die Aktion Update Insight (Aktualisieren von Insight), um einen Insight in AWS Security Hub zu aktualisieren.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Update Insight sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Insight ARN |
Erforderlich Der ARN der Statistik. |
Insight Name |
Optional Der Name der Statistik. |
Group By Attribute |
Optional Der Name des Attributs, nach dem die Ergebnisse gruppiert werden sollen. Durch die Aktion werden die Ergebnisse unter einem Insight gruppiert. Der Standardwert ist Folgende Werte sind möglich:
|
Filter JSON Object |
Optional Ein Filter, der auf Ergebnisse angewendet werden soll. Der Filter ist ein JSON-Objekt, mit dem Sie verschiedene Attribute und Werte angeben können. Weitere Informationen zur Filterkonfiguration finden Sie in diesem Dokument im Abschnitt Mit dem Parameter „Filter JSON Object“ arbeiten. |
Aktionsausgaben
Die Aktion Update Insight (Insight aktualisieren) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabemeldungen
Die Aktion Update Insight kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Update Insight". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Update Insight verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Connectors
Weitere Informationen zum Konfigurieren von Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).
AWS Security Hub – Findings Connector
Verwenden Sie den AWS Security Hub – Findings Connector, um Ergebnisse aus AWS Security Hub abzurufen.
Für den Connector sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Product Field Name |
Erforderlich
Der Name des Felds, in dem der Produktname gespeichert ist. Der Standardwert ist |
Event Field Name |
Erforderlich
Der Feldname, der zum Bestimmen des Ereignisnamens (Untertyp) verwendet wird. Der Standardwert ist |
Environment Field Name |
Optional
Der Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung. Der Standardwert ist |
Environment Regex Pattern |
Optional
Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Verwenden Sie den Standardwert Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
Script Timeout (Seconds) |
Erforderlich
Das Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. Der Standardwert ist 180. |
AWS Access Key ID |
Erforderlich
Die AWS-Zugriffsschlüssel-ID, die in der Integration verwendet werden soll. |
AWS Secret Key |
Erforderlich Der geheime AWS-Schlüssel, der in der Integration verwendet werden soll. |
AWS Default Region |
Erforderlich Die AWS-Standardregion, die in der Integration verwendet werden soll, z. B. |
Lowest Severity To Fetch |
Erforderlich
Der niedrigste Schweregrad der abzurufenden Ergebnisse. Folgende Werte sind möglich:
Medium. |
Fetch Max Hours Backwards |
Optional Die Anzahl der Stunden vor der ersten Connector-Iteration, ab der die Vorfälle abgerufen werden sollen. Dieser Parameter wird nur einmal auf die erste Connector-Iteration angewendet, nachdem Sie den Connector zum ersten Mal aktiviert haben. Der Standardwert ist 1 Stunde. |
Max Findings To Fetch |
Optional
Die Anzahl der Ergebnisse, die in einer Connector-Iteration verarbeitet werden sollen. Der Standardwert ist 50. |
Use whitelist as a blacklist |
Erforderlich
Wenn diese Option ausgewählt ist, verwendet der Connector die dynamische Liste als Blockierliste. Diese Option ist standardmäßig nicht ausgewählt. |
Verify SSL |
Erforderlich
Wenn diese Option ausgewählt ist, prüft Google SecOps, ob das SSL-Zertifikat für die Verbindung zum AWS Security Hub-Server gültig ist. Standardmäßig ausgewählt. |
Proxy Server Address |
Optional Die Adresse des zu verwendenden Proxyservers. |
Proxy Username |
Optional Der Proxy-Nutzername für die Authentifizierung. |
Proxy Password |
Optional Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Der AWS Security Hub – Findings Connector unterstützt Proxys.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten