Integra AWS Security Hub con las SecOps de Google
En este documento, se explica cómo integrar AWS Security Hub con Google Security Operations (Google SecOps).
Versión de integración: 8.0
Casos de uso
En Google SecOps, la integración de AWS Security Hub puede ayudarte a resolver los siguientes casos de uso:
Enriquecimiento automático de incidentes: Usa las capacidades de Google SecOps para recuperar automáticamente el contexto pertinente de otros servicios de AWS, como los registros del flujo de VPC, los hallazgos de GuardDuty y los registros de CloudTrail cuando se detecta un posible evento de seguridad en Security Hub. El enriquecimiento automático de incidentes puede ayudar a los analistas a comprender rápidamente el alcance y el impacto potencial del incidente.
Corrección priorizada: Usa las capacidades de Google SecOps para activar respuestas automatizadas a los hallazgos de Security Hub según las guías predefinidas. Por ejemplo, un hallazgo de gravedad alta relacionado con un bucket de S3 expuesto puede activar automáticamente una guía para corregir la configuración incorrecta y notificar a los equipos correspondientes.
Integración de inteligencia contra amenazas: Usa las capacidades de Google SecOps para integrarte con feeds de inteligencia contra amenazas y cruzar las referencias de los hallazgos de Security Hub con indicadores maliciosos conocidos. La integración de inteligencia sobre amenazas permite a los analistas identificar y priorizar las amenazas de alto riesgo que requieren atención inmediata.
Informes y auditorías de cumplimiento: Usa las capacidades de SecOps de Google para agregar y normalizar los datos de seguridad de Security Hub y otras fuentes, y así simplificar los informes de cumplimiento.
Administración de vulnerabilidades: Usa las capacidades de SecOps de Google para automatizar el proceso de clasificación, priorización y corrección de vulnerabilidades integrando las funciones de análisis de vulnerabilidades de AWS Security Hub. La administración de vulnerabilidades puede ayudarte a reducir la superficie de ataque y mejorar la postura de seguridad general de tu organización.
Antes de comenzar
Para que la integración funcione correctamente, debes configurar una política de acceso y de identidad personalizada en AWS.
Para obtener más información sobre cómo crear políticas personalizadas en AWS, consulta Cómo crear políticas con el editor de JSON en la documentación de AWS.
Para configurar los permisos necesarios para la integración de AWS Security Hub y establecer la política personalizada, usa el siguiente código:
{
"Sid": "SecurityHubServiceRolePermissions",
"Effect": "Allow",
"Action": [
"securityhub:GetMasterAccount",
"securityhub:GetInsightResults",
"securityhub:CreateInsight",
"securityhub:UpdateInsight",
"securityhub:BatchUpdateFindings",
"securityhub:GetFindings",
"securityhub:GetInsight",
"securityhub:DescribeHub",
],
"Resource": "*"
}
Para obtener más información sobre la configuración de permisos, consulta Política administrada por AWS:AWSSecurityHubServiceRolePolicy en la documentación de AWS.
Parámetros de integración
La integración de AWS Security Hub requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
AWS Access Key ID |
Obligatorio
ID de la clave de acceso de AWS que se usará en la integración. |
AWS Secret Key |
Obligatorio Es la clave secreta de AWS que se usará en la integración. |
AWS Default Region |
Obligatorio Región predeterminada de AWS que se usará en la integración, como |
Si es necesario, puedes realizar cambios más adelante. Después de configurar las instancias, puedes usarlas en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.
Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.
Trabaja con el parámetro Filter JSON Object
En las acciones Create Insight y Update Insight, puedes configurar filtros para los hallazgos.
Para crear una estadística en AWS Security Hub, aplica filtros a los hallazgos disponibles en el sistema.
La estructura del filtro con todas las configuraciones posibles es la siguiente:
{
"ProductArn": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"AwsAccountId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Id": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"GeneratorId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Type": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"FirstObservedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"LastObservedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"CreatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"UpdatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"SeverityProduct": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"SeverityNormalized": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"SeverityLabel": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Confidence": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"Criticality": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"Title": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Description": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"RecommendationText": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"SourceUrl": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ProductFields": [
{
"Key": "string",
"Value": "string",
"Comparison": "EQUALS"|"NOT_EQUALS"
}
],
"ProductName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"CompanyName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"UserDefinedFields": [
{
"Key": "string",
"Value": "string",
"Comparison": "EQUALS"|"NOT_EQUALS"
}
],
"MalwareName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"MalwareType": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"MalwarePath": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"MalwareState": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkDirection": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkProtocol": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkSourceIpV4": [
{
"Cidr": "string"
}
],
"NetworkSourceIpV6": [
{
"Cidr": "string"
}
],
"NetworkSourcePort": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"NetworkSourceDomain": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkSourceMac": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkDestinationIpV4": [
{
"Cidr": "string"
}
],
"NetworkDestinationIpV6": [
{
"Cidr": "string"
}
],
"NetworkDestinationPort": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"NetworkDestinationDomain": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ProcessName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ProcessPath": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ProcessPid": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"ProcessParentPid": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"ProcessLaunchedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ProcessTerminatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ThreatIntelIndicatorType": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ThreatIntelIndicatorValue": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ThreatIntelIndicatorCategory": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ThreatIntelIndicatorLastObservedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ThreatIntelIndicatorSource": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ThreatIntelIndicatorSourceUrl": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceType": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourcePartition": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceRegion": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceTags": [
{
"Key": "string",
"Value": "string",
"Comparison": "EQUALS"|"NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceType": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceImageId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceIpV4Addresses": [
{
"Cidr": "string"
}
],
"ResourceAwsEc2InstanceIpV6Addresses": [
{
"Cidr": "string"
}
],
"ResourceAwsEc2InstanceKeyName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceIamInstanceProfileArn": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceVpcId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceSubnetId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceLaunchedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ResourceAwsS3BucketOwnerId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsS3BucketOwnerName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsIamAccessKeyUserName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsIamAccessKeyStatus": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsIamAccessKeyCreatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ResourceContainerName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceContainerImageId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceContainerImageName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceContainerLaunchedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ResourceDetailsOther": [
{
"Key": "string",
"Value": "string",
"Comparison": "EQUALS"|"NOT_EQUALS"
}
],
"ComplianceStatus": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"VerificationState": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"WorkflowState": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"WorkflowStatus": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"RecordState": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"RelatedFindingsProductArn": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"RelatedFindingsId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NoteText": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NoteUpdatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"NoteUpdatedBy": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Keyword": [
{
"Value": "string"
}
]
}
A continuación, se muestra un ejemplo de un filtro que solo devuelve hallazgos con gravedad crítica:
{
"SeverityLabel": [
{
"Value": "CRITICAL",
"Comparison": "EQUALS"
}
]
}
Acciones
Para que funcionen correctamente, las acciones de AWS Security Hub requieren que configures permisos específicos. Para obtener más información sobre los permisos de la integración, consulta la sección Antes de comenzar de este documento.
Crear estadística
Usa la acción Create Insight para crear una estadística en AWS Security Hub.
Entradas de acción
La acción Create Insight requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Insight Name |
Obligatorio El nombre de la estadística. |
Group By Attribute |
Obligatorio Es el nombre del atributo por el que se agrupan los hallazgos. La acción agrupa los resultados en una sola estadística. El valor predeterminado es Los valores posibles son los siguientes:
|
Filter JSON Object |
Obligatorio Es un filtro que se aplica a los hallazgos. El filtro es un objeto JSON que te permite especificar diferentes atributos y valores. Para obtener más detalles sobre la configuración del filtro, consulta la sección Trabaja con el parámetro del objeto JSON de filtro de este documento. |
Resultados de la acción
La acción Create Insight proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Create Insight:
{
"InsightArn": "arn:aws:securityhub:ID",
}
Mensajes de salida
La acción Create Insight puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Create Insight". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Create Insight:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtén detalles de la estadística
Usa la acción Get Insight Details para devolver información detallada sobre las estadísticas en AWS Security Hub.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Get Insight Details requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Insight ARN |
Obligatorio Es el Amazon Resource Name (ARN) de la estadística. |
Max Results To Return |
Obligatorio Es la cantidad de resultados que se devolverán. El valor predeterminado es 50. |
Resultados de la acción
La acción Get Insight Details proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Tabla del muro de casos
La acción Get Insight Details puede devolver la siguiente tabla en Google SecOps:
Nombre de la tabla: Objetos del bucket "NUMBER_OF_OBJECTS"
Columnas:
- Nombre (se asigna como
GroupByAttributeValue) - Recuento (se asigna como
Count)
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado en formato JSON que se recibe cuando se usa la acción Get Insight Details:
"InsightResults": {
"InsightArn": "arn:aws:securityhub:ID",
"GroupByAttribute": "ResourceId",
"ResultValues": [
{
"GroupByAttributeValue": "arn:aws:s3:::int-arcsight-v-27-0-getreportstatus",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-arcsight-v-27-0-searchactionbug",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-arcsight-v-27-0-unicodeandlogs",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-automation-v-1-0",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-awss3-v-1-0",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-azureactivedirectory-v-4-0",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-bootcamp-v-1-0",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-categories",
"Count": 5
}
]
}
Mensajes de salida
La acción Get Insight Details puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Get Insight Details". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Get Insight Details:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Ping
Usa la acción Ping para probar la conectividad a AWS Security Hub.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
Ninguno
Resultados de la acción
La acción Ping proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Ping puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Failed to connect to the AWS Security Hub! Error is
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Ping:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Actualizar resultado
Usa la acción Update Finding para actualizar los hallazgos en AWS Security Hub.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Update Finding requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
ID |
Obligatorio Es el ID del hallazgo que se actualizará. |
Product ARN |
Obligatorio ARN del producto del hallazgo que se actualizará. |
Note |
Optional Es un texto nuevo para la nota del hallazgo. Si configuras este parámetro, también debes configurar el parámetro |
Note Author |
Optional el autor de la nota Si configuras este parámetro, también debes configurar el parámetro |
Severity |
Optional Es una nueva gravedad para el resultado. Los valores posibles son los siguientes:
|
Verification State |
Optional Es un nuevo estado de verificación para el hallazgo. Los valores posibles son los siguientes:
|
Confidence |
Optional Es un nuevo nivel de confianza para el hallazgo. El valor máximo es 100. |
Criticality |
Optional Es una nueva gravedad para el hallazgo. El valor máximo es 100. |
Types |
Optional Es una lista de tipos para el hallazgo, separados por comas, como |
Workflow Status |
Optional Es un nuevo estado del flujo de trabajo para el hallazgo. Los valores posibles son los siguientes:
|
Custom Fields |
Optional Son los campos personalizados del hallazgo que se actualizarán, como |
Resultados de la acción
La acción Update Finding proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Update Finding puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Update Findings". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Update Finding:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Actualizar la estadística
Usa la acción Update Insight para actualizar una estadística en AWS Security Hub.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Update Insight requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Insight ARN |
Obligatorio Es el ARN de la estadística. |
Insight Name |
Optional El nombre de la estadística. |
Group By Attribute |
Optional Es el nombre del atributo por el que se agrupan los hallazgos. La acción agrupa los resultados en una sola estadística. El valor predeterminado es Los valores posibles son los siguientes:
|
Filter JSON Object |
Optional Es un filtro que se aplica a los hallazgos. El filtro es un objeto JSON que te permite especificar diferentes atributos y valores. Para obtener más detalles sobre la configuración del filtro, consulta la sección Trabaja con el parámetro del objeto JSON de filtro de este documento. |
Resultados de la acción
La acción Update Insight proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Update Insight puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Update Insight". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Update Insight:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Conectores
Para obtener más información sobre cómo configurar conectores en Google SecOps, consulta Ingiere tus datos (conectores).
AWS Security Hub: Findings Connector
Usa el conector de resultados de AWS Security Hub para recuperar los resultados de AWS Security Hub.
El conector requiere los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
Product Field Name |
Obligatorio
Es el nombre del campo en el que se almacena el nombre del producto. El valor predeterminado es |
Event Field Name |
Obligatorio
Es el nombre del campo que se usa para determinar el nombre del evento (subtipo). El valor predeterminado es |
Environment Field Name |
Optional
Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, el entorno es el predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Optional
Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Script Timeout (Seconds) |
Obligatorio
Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es 180. |
AWS Access Key ID |
Obligatorio
ID de la clave de acceso de AWS que se usará en la integración. |
AWS Secret Key |
Obligatorio Es la clave secreta de AWS que se usará en la integración. |
AWS Default Region |
Obligatorio Región predeterminada de AWS que se usará en la integración, como |
Lowest Severity To Fetch |
Obligatorio
Es la gravedad más baja de los hallazgos que se recuperarán. Los valores posibles son los siguientes:
Medium. |
Fetch Max Hours Backwards |
Optional Cantidad de horas previas a la primera iteración del conector para recuperar los incidentes. Este parámetro solo se aplica una vez a la iteración inicial del conector después de que lo habilitas por primera vez. El valor predeterminado es 1 hora. |
Max Findings To Fetch |
Optional
Es la cantidad de hallazgos que se procesarán en una iteración del conector. El valor predeterminado es 50. |
Use whitelist as a blacklist |
Obligatorio
Si se selecciona esta opción, el conector usa la lista dinámica como lista de bloqueo. No está seleccionada de forma predeterminada. |
Verify SSL |
Obligatorio
Si se selecciona esta opción, Google SecOps verifica que el certificado SSL para la conexión al servidor de AWS Security Hub sea válido. Esta opción se selecciona de forma predeterminada. |
Proxy Server Address |
Optional Es la dirección del servidor proxy que se usará. |
Proxy Username |
Optional Nombre de usuario del proxy con el que se realizará la autenticación. |
Proxy Password |
Optional Contraseña del proxy para la autenticación. |
Reglas del conector
El conector de hallazgos de AWS Security Hub admite proxies.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.