Integrar AWS Security Hub con Google SecOps
En este documento se explica cómo integrar AWS Security Hub con Google Security Operations (Google SecOps).
Versión de la integración: 8.0
Casos prácticos
En Google SecOps, la integración de AWS Security Hub puede ayudarte a resolver los siguientes casos prácticos:
Enriquecimiento automático de incidentes: usa las funciones de Google SecOps para obtener automáticamente el contexto pertinente de otros servicios de AWS, como los registros de flujo de VPC, los resultados de GuardDuty y los registros de CloudTrail, cuando se detecta un posible evento de seguridad en Security Hub. El enriquecimiento automático de incidentes puede ayudar a los analistas a comprender rápidamente el alcance y el posible impacto del incidente.
Corrección priorizada: usa las funciones de Google SecOps para activar respuestas automáticas a las detecciones de Security Hub basadas en guías predefinidas. Por ejemplo, un resultado de gravedad alta relacionado con un contenedor de S3 expuesto puede activar automáticamente un playbook para corregir la configuración incorrecta y notificar a los equipos correspondientes.
Integración de la inteligencia frente a amenazas: usa las funciones de Google SecOps para integrar feeds de inteligencia frente a amenazas y contrastar las detecciones de Security Hub con indicadores maliciosos conocidos. La integración de inteligencia de amenazas permite a los analistas identificar y priorizar las amenazas de alto riesgo que requieren atención inmediata.
Informes y auditorías de cumplimiento: usa las funciones de Google SecOps para agregar y normalizar datos de seguridad de Security Hub y otras fuentes para simplificar los informes de cumplimiento.
Gestión de vulnerabilidades: usa las funciones de Google SecOps para automatizar el proceso de triaje, priorización y corrección de vulnerabilidades integrando las funciones de análisis de vulnerabilidades de AWS Security Hub. La gestión de vulnerabilidades puede ayudarte a reducir la superficie de ataque y a mejorar la estrategia de seguridad general de tu organización.
Antes de empezar
Para que la integración funcione correctamente, debe configurar una política de identidad y acceso personalizada en AWS.
Para obtener más información sobre cómo crear políticas personalizadas en AWS, consulta el artículo Crear políticas con el editor JSON de la documentación de AWS.
Para configurar los permisos necesarios para la integración de AWS Security Hub y definir la política personalizada, usa el siguiente código:
{
"Sid": "SecurityHubServiceRolePermissions",
"Effect": "Allow",
"Action": [
"securityhub:GetMasterAccount",
"securityhub:GetInsightResults",
"securityhub:CreateInsight",
"securityhub:UpdateInsight",
"securityhub:BatchUpdateFindings",
"securityhub:GetFindings",
"securityhub:GetInsight",
"securityhub:DescribeHub",
],
"Resource": "*"
}
Para obtener más información sobre cómo configurar permisos, consulta Política gestionada de AWS:
AWSSecurityHubServiceRolePolicy
en la documentación de AWS.
Parámetros de integración
La integración de AWS Security Hub requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
AWS Access Key ID |
Obligatorio
El ID de clave de acceso de AWS que se va a usar en la integración. |
AWS Secret Key |
Obligatorio La clave secreta de AWS que se va a usar en la integración. |
AWS Default Region |
Obligatorio La región predeterminada de AWS que se va a usar en la integración, como |
Si es necesario, puedes hacer cambios más adelante. Después de configurar las instancias, puedes usarlas en los playbooks. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.
Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta el artículo Configurar integraciones.
Trabajar con el parámetro de objeto JSON de filtro
En las acciones Crear estadística y Actualizar estadística, puedes configurar filtros para las detecciones.
Para crear una estadística en AWS Security Hub, aplica filtros a los resultados disponibles en el sistema.
La estructura del filtro con todas las configuraciones posibles es la siguiente:
{
"ProductArn": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"AwsAccountId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Id": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"GeneratorId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Type": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"FirstObservedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"LastObservedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"CreatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"UpdatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"SeverityProduct": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"SeverityNormalized": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"SeverityLabel": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Confidence": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"Criticality": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"Title": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Description": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"RecommendationText": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"SourceUrl": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ProductFields": [
{
"Key": "string",
"Value": "string",
"Comparison": "EQUALS"|"NOT_EQUALS"
}
],
"ProductName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"CompanyName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"UserDefinedFields": [
{
"Key": "string",
"Value": "string",
"Comparison": "EQUALS"|"NOT_EQUALS"
}
],
"MalwareName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"MalwareType": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"MalwarePath": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"MalwareState": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkDirection": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkProtocol": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkSourceIpV4": [
{
"Cidr": "string"
}
],
"NetworkSourceIpV6": [
{
"Cidr": "string"
}
],
"NetworkSourcePort": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"NetworkSourceDomain": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkSourceMac": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkDestinationIpV4": [
{
"Cidr": "string"
}
],
"NetworkDestinationIpV6": [
{
"Cidr": "string"
}
],
"NetworkDestinationPort": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"NetworkDestinationDomain": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ProcessName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ProcessPath": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ProcessPid": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"ProcessParentPid": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"ProcessLaunchedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ProcessTerminatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ThreatIntelIndicatorType": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ThreatIntelIndicatorValue": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ThreatIntelIndicatorCategory": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ThreatIntelIndicatorLastObservedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ThreatIntelIndicatorSource": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ThreatIntelIndicatorSourceUrl": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceType": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourcePartition": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceRegion": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceTags": [
{
"Key": "string",
"Value": "string",
"Comparison": "EQUALS"|"NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceType": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceImageId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceIpV4Addresses": [
{
"Cidr": "string"
}
],
"ResourceAwsEc2InstanceIpV6Addresses": [
{
"Cidr": "string"
}
],
"ResourceAwsEc2InstanceKeyName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceIamInstanceProfileArn": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceVpcId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceSubnetId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceLaunchedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ResourceAwsS3BucketOwnerId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsS3BucketOwnerName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsIamAccessKeyUserName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsIamAccessKeyStatus": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsIamAccessKeyCreatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ResourceContainerName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceContainerImageId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceContainerImageName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceContainerLaunchedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ResourceDetailsOther": [
{
"Key": "string",
"Value": "string",
"Comparison": "EQUALS"|"NOT_EQUALS"
}
],
"ComplianceStatus": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"VerificationState": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"WorkflowState": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"WorkflowStatus": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"RecordState": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"RelatedFindingsProductArn": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"RelatedFindingsId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NoteText": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NoteUpdatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"NoteUpdatedBy": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Keyword": [
{
"Value": "string"
}
]
}
A continuación, se muestra un ejemplo de un filtro que devuelve solo los resultados con gravedad crítica:
{
"SeverityLabel": [
{
"Value": "CRITICAL",
"Comparison": "EQUALS"
}
]
}
Acciones
Para que funcionen correctamente, las acciones de AWS Security Hub requieren que configures permisos específicos. Para obtener más información sobre los permisos de la integración, consulta la sección Antes de empezar de este documento.
Crear estadística
Usa la acción Create Insight para crear una estadística en AWS Security Hub.
Entradas de acciones
La acción Create Insight requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Insight Name |
Obligatorio Nombre de la estadística. |
Group By Attribute |
Obligatorio Nombre del atributo por el que se agrupan los resultados. La acción agrupa los resultados en una sola estadística. El valor predeterminado es Estos son los valores posibles:
|
Filter JSON Object |
Obligatorio Filtro que se aplica a los resultados. El filtro es un objeto JSON que le permite especificar diferentes atributos y valores. Para obtener más información sobre la configuración de filtros, consulta la sección Trabajar con el parámetro de objeto JSON de filtro de este documento. |
Resultados de la acción
La acción Crear estadística proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra el resultado JSON que se recibe al usar la acción Create Insight (Crear estadística):
{
"InsightArn": "arn:aws:securityhub:ID",
}
Mensajes de salida
La acción Crear estadística puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Create Insight". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos al usar la acción Crear estadística:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Obtener detalles de las estadísticas
Usa la acción Get Insight Details (Obtener detalles de la estadística) para obtener información detallada sobre las estadísticas de AWS Security Hub.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Obtener detalles de la estadística requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Insight ARN |
Obligatorio Nombre de recurso de Amazon (ARN) de la estadística. |
Max Results To Return |
Obligatorio El número de resultados que se van a devolver. El valor predeterminado es 50. |
Resultados de la acción
La acción Obtener detalles de la estadística proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Tabla del panel de casos
La acción Obtener detalles de la información valiosa puede devolver la siguiente tabla en Google SecOps:
Nombre de la tabla: 'NUMBER_OF_OBJECTS' Bucket Objects
Columnas:
- Nombre (asignado como
GroupByAttributeValue) - Recuento (asignado como
Count)
Resultado de JSON
En el siguiente ejemplo se muestra el resultado en JSON que se obtiene al usar la acción Get Insight Details:
"InsightResults": {
"InsightArn": "arn:aws:securityhub:ID",
"GroupByAttribute": "ResourceId",
"ResultValues": [
{
"GroupByAttributeValue": "arn:aws:s3:::int-arcsight-v-27-0-getreportstatus",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-arcsight-v-27-0-searchactionbug",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-arcsight-v-27-0-unicodeandlogs",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-automation-v-1-0",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-awss3-v-1-0",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-azureactivedirectory-v-4-0",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-bootcamp-v-1-0",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-categories",
"Count": 5
}
]
}
Mensajes de salida
La acción Obtener detalles de la estadística puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Insight Details". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos al usar la acción Obtener detalles de la estadística:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Ping
Usa la acción Ping para probar la conectividad con AWS Security Hub.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
Ninguno
Resultados de la acción
La acción Ping proporciona las siguientes salidas:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Ping puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Failed to connect to the AWS Security Hub! Error is
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Ping:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Actualizar resultado
Usa la acción Update Finding para actualizar los resultados en AWS Security Hub.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Update Finding requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
ID |
Obligatorio ID del hallazgo que se va a actualizar. |
Product ARN |
Obligatorio ARN del producto del resultado que se va a actualizar. |
Note |
Optional Un nuevo texto para la nota de hallazgo. Si configura este parámetro, también debe configurar el parámetro |
Note Author |
Optional El autor de la nota. Si configura este parámetro, también debe configurar el parámetro |
Severity |
Optional Una nueva gravedad para el resultado. Estos son los valores posibles:
|
Verification State |
Optional Nuevo estado de verificación del hallazgo. Estos son los valores posibles:
|
Confidence |
Optional Un nuevo nivel de confianza en el resultado. El valor máximo es 100. |
Criticality |
Optional Una nueva gravedad para el hallazgo. El valor máximo es 100. |
Types |
Optional Lista de tipos del resultado separada por comas, como |
Workflow Status |
Optional Nuevo estado del flujo de trabajo del resultado. Estos son los valores posibles:
|
Custom Fields |
Optional Los campos personalizados de la incidencia que se van a actualizar, como
|
Resultados de la acción
La acción Actualizar detección proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Update Finding puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Update Findings". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se indica el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Actualizar detección:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Update Insight
Usa la acción Update Insight para actualizar una estadística en AWS Security Hub.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Update Insight requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Insight ARN |
Obligatorio ARN de la estadística. |
Insight Name |
Optional Nombre de la estadística. |
Group By Attribute |
Optional Nombre del atributo por el que se agrupan los resultados. La acción agrupa los resultados en una sola estadística. El valor predeterminado es Estos son los valores posibles:
|
Filter JSON Object |
Optional Filtro que se aplica a los resultados. El filtro es un objeto JSON que le permite especificar diferentes atributos y valores. Para obtener más información sobre la configuración de filtros, consulta la sección Trabajar con el parámetro de objeto JSON de filtro de este documento. |
Resultados de la acción
La acción Actualizar estadística proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Actualizar información valiosa puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Update Insight". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se indica el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Actualizar estadística:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Conectores
Para obtener más información sobre cómo configurar conectores en Google SecOps, consulta el artículo Ingerir datos (conectores).
AWS Security Hub: conector de resultados
Usa el conector de resultados de AWS Security Hub para obtener resultados de AWS Security Hub.
El conector requiere los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
Product Field Name |
Obligatorio
Nombre del campo en el que se almacena el nombre del producto. El valor predeterminado es |
Event Field Name |
Obligatorio
Nombre del campo que se usa para determinar el nombre del evento (subtipo). El valor predeterminado es |
Environment Field Name |
Optional
Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Optional
Un patrón de expresión regular que se aplica al valor encontrado en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Script Timeout (Seconds) |
Obligatorio
El límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es 180. |
AWS Access Key ID |
Obligatorio
El ID de clave de acceso de AWS que se va a usar en la integración. |
AWS Secret Key |
Obligatorio La clave secreta de AWS que se va a usar en la integración. |
AWS Default Region |
Obligatorio La región predeterminada de AWS que se va a usar en la integración, como |
Lowest Severity To Fetch |
Obligatorio
La gravedad más baja de los resultados que se van a obtener. Los valores posibles son los siguientes:
Medium. |
Fetch Max Hours Backwards |
Optional Número de horas antes de la primera iteración del conector para recuperar los incidentes. Este parámetro solo se aplica una vez a la iteración inicial del conector después de habilitarlo por primera vez. El valor predeterminado es 1 hora. |
Max Findings To Fetch |
Optional
Número de resultados que se deben procesar en una iteración del conector. El valor predeterminado es 50. |
Use whitelist as a blacklist |
Obligatorio
Si se selecciona esta opción, el conector usará la lista dinámica como lista de bloqueo. No está seleccionada de forma predeterminada. |
Verify SSL |
Obligatorio
Si se selecciona esta opción, Google SecOps verifica que el certificado SSL de la conexión al servidor de AWS Security Hub sea válido. Esta opción está seleccionada de forma predeterminada. |
Proxy Server Address |
Optional Dirección del servidor proxy que se va a usar. |
Proxy Username |
Optional Nombre de usuario del proxy para autenticarse. |
Proxy Password |
Optional La contraseña del proxy para autenticarte. |
Reglas de conectores
El conector de resultados de AWS Security Hub admite proxies.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.