Intégrer AWS Security Hub à Google SecOps
Ce document explique comment intégrer AWS Security Hub à Google Security Operations (Google SecOps).
Version de l'intégration : 8.0
Cas d'utilisation
Dans Google SecOps, l'intégration AWS Security Hub peut vous aider à résoudre les cas d'utilisation suivants :
Enrichissement automatisé des incidents : utilisez les fonctionnalités Google SecOps pour récupérer automatiquement le contexte pertinent d'autres services AWS tels que les journaux de flux VPC, les résultats GuardDuty et les journaux CloudTrail lorsqu'un événement de sécurité potentiel est détecté dans Security Hub. L'enrichissement automatique des incidents peut aider les analystes à comprendre rapidement la portée et l'impact potentiel de l'incident.
Remédiation priorisée : utilisez les fonctionnalités Google SecOps pour déclencher des réponses automatiques aux résultats Security Hub en fonction de playbooks prédéfinis. Par exemple, un résultat de gravité élevée lié à un bucket S3 exposé peut déclencher automatiquement un playbook pour corriger la mauvaise configuration et avertir les équipes concernées.
Intégration du renseignement sur les menaces : utilisez les fonctionnalités de Google SecOps pour intégrer des flux de renseignements sur les menaces et croiser les résultats de Security Hub avec les indicateurs malveillants connus. L'intégration de Threat Intelligence permet aux analystes d'identifier et de hiérarchiser les menaces à haut risque qui nécessitent une attention immédiate.
Rapports et audits de conformité : utilisez les fonctionnalités Google SecOps pour agréger et normaliser les données de sécurité provenant de Security Hub et d'autres sources afin de simplifier les rapports de conformité.
Gestion des failles : utilisez les fonctionnalités Google SecOps pour automatiser le processus de triage, de priorisation et de correction des failles en les intégrant aux fonctionnalités d'analyse des failles d'AWS Security Hub. La gestion des failles peut vous aider à réduire la surface d'attaque et à améliorer la stratégie de sécurité globale de votre organisation.
Avant de commencer
Pour que l'intégration fonctionne correctement, vous devez configurer une stratégie d'identité et d'accès personnalisée dans AWS.
Pour en savoir plus sur la création de règles personnalisées dans AWS, consultez Créer des règles à l'aide de l'éditeur JSON dans la documentation AWS.
Pour configurer les autorisations requises pour l'intégration AWS Security Hub et définir la règle personnalisée, utilisez le code suivant :
{
"Sid": "SecurityHubServiceRolePermissions",
"Effect": "Allow",
"Action": [
"securityhub:GetMasterAccount",
"securityhub:GetInsightResults",
"securityhub:CreateInsight",
"securityhub:UpdateInsight",
"securityhub:BatchUpdateFindings",
"securityhub:GetFindings",
"securityhub:GetInsight",
"securityhub:DescribeHub",
],
"Resource": "*"
}
Pour en savoir plus sur la configuration des autorisations, consultez la page Stratégie gérée par AWS :
AWSSecurityHubServiceRolePolicy
dans la documentation AWS.
Paramètres d'intégration
L'intégration d'AWS Security Hub nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
AWS Access Key ID |
Obligatoire
ID de clé d'accès AWS à utiliser dans l'intégration. |
AWS Secret Key |
Obligatoire Clé secrète AWS à utiliser dans l'intégration. |
AWS Default Region |
Obligatoire Région AWS par défaut à utiliser dans l'intégration, telle que |
Si nécessaire, vous pourrez apporter des modifications ultérieurement. Une fois les instances configurées, vous pouvez les utiliser dans les playbooks. Pour en savoir plus sur la configuration et la prise en charge de plusieurs instances, consultez Prise en charge de plusieurs instances.
Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Utiliser le paramètre "Objet JSON du filtre"
Pour les actions Créer un insight et Mettre à jour un insight, vous pouvez configurer des filtres pour les résultats.
Pour créer un insight dans AWS Security Hub, appliquez des filtres aux résultats disponibles dans le système.
La structure du filtre avec toutes les configurations possibles est la suivante :
{
"ProductArn": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"AwsAccountId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Id": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"GeneratorId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Type": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"FirstObservedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"LastObservedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"CreatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"UpdatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"SeverityProduct": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"SeverityNormalized": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"SeverityLabel": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Confidence": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"Criticality": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"Title": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Description": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"RecommendationText": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"SourceUrl": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ProductFields": [
{
"Key": "string",
"Value": "string",
"Comparison": "EQUALS"|"NOT_EQUALS"
}
],
"ProductName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"CompanyName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"UserDefinedFields": [
{
"Key": "string",
"Value": "string",
"Comparison": "EQUALS"|"NOT_EQUALS"
}
],
"MalwareName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"MalwareType": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"MalwarePath": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"MalwareState": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkDirection": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkProtocol": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkSourceIpV4": [
{
"Cidr": "string"
}
],
"NetworkSourceIpV6": [
{
"Cidr": "string"
}
],
"NetworkSourcePort": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"NetworkSourceDomain": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkSourceMac": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkDestinationIpV4": [
{
"Cidr": "string"
}
],
"NetworkDestinationIpV6": [
{
"Cidr": "string"
}
],
"NetworkDestinationPort": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"NetworkDestinationDomain": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ProcessName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ProcessPath": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ProcessPid": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"ProcessParentPid": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"ProcessLaunchedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ProcessTerminatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ThreatIntelIndicatorType": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ThreatIntelIndicatorValue": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ThreatIntelIndicatorCategory": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ThreatIntelIndicatorLastObservedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ThreatIntelIndicatorSource": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ThreatIntelIndicatorSourceUrl": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceType": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourcePartition": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceRegion": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceTags": [
{
"Key": "string",
"Value": "string",
"Comparison": "EQUALS"|"NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceType": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceImageId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceIpV4Addresses": [
{
"Cidr": "string"
}
],
"ResourceAwsEc2InstanceIpV6Addresses": [
{
"Cidr": "string"
}
],
"ResourceAwsEc2InstanceKeyName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceIamInstanceProfileArn": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceVpcId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceSubnetId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceLaunchedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ResourceAwsS3BucketOwnerId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsS3BucketOwnerName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsIamAccessKeyUserName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsIamAccessKeyStatus": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsIamAccessKeyCreatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ResourceContainerName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceContainerImageId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceContainerImageName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceContainerLaunchedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ResourceDetailsOther": [
{
"Key": "string",
"Value": "string",
"Comparison": "EQUALS"|"NOT_EQUALS"
}
],
"ComplianceStatus": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"VerificationState": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"WorkflowState": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"WorkflowStatus": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"RecordState": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"RelatedFindingsProductArn": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"RelatedFindingsId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NoteText": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NoteUpdatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"NoteUpdatedBy": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Keyword": [
{
"Value": "string"
}
]
}
Voici un exemple de filtre qui ne renvoie que les résultats présentant le niveau de gravité critique :
{
"SeverityLabel": [
{
"Value": "CRITICAL",
"Comparison": "EQUALS"
}
]
}
Actions
Pour fonctionner correctement, les actions AWS Security Hub nécessitent que vous configuriez des autorisations spécifiques. Pour en savoir plus sur les autorisations de l'intégration, consultez la section Avant de commencer de ce document.
Créer un insight
Utilisez l'action Create Insight (Créer un insight) pour créer un insight dans AWS Security Hub.
Entrées d'action
L'action Create Insight (Créer un insight) nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Insight Name |
Obligatoire Nom de l'insight. |
Group By Attribute |
Obligatoire Nom de l'attribut selon lequel regrouper les résultats. Cette action regroupe les résultats sous un même insight. La valeur par défaut est Les valeurs possibles sont les suivantes :
|
Filter JSON Object |
Obligatoire Filtre à appliquer aux résultats. Le filtre est un objet JSON qui vous permet de spécifier différents attributs et valeurs. Pour en savoir plus sur la configuration du filtre, consultez la section Utiliser le paramètre "Objet JSON du filtre" de ce document. |
Sorties d'action
L'action Créer un insight fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Create Insight :
{
"InsightArn": "arn:aws:securityhub:ID",
}
Messages de sortie
L'action Create Insight (Créer un insight) peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Create Insight". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Créer un insight :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir les détails d'un insight
Utilisez l'action Get Insight Details (Obtenir les détails de l'insight) pour renvoyer des informations détaillées sur les insights dans AWS Security Hub.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Obtenir les détails d'un insight nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Insight ARN |
Obligatoire Nom de ressource Amazon (ARN) de l'insight. |
Max Results To Return |
Obligatoire Nombre de résultats à renvoyer. La valeur par défaut est 50. |
Sorties d'action
L'action Obtenir les détails de l'insight fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Table du mur des cas
L'action Obtenir les détails de l'insight peut renvoyer le tableau suivant dans Google SecOps :
Nom de la table : 'NUMBER_OF_OBJECTS' Objets du bucket
Colonnes :
- Nom (mappé en tant que
GroupByAttributeValue) - Nombre (mappé en tant que
Count)
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Get Insight Details (Obtenir les détails sur les insights) :
"InsightResults": {
"InsightArn": "arn:aws:securityhub:ID",
"GroupByAttribute": "ResourceId",
"ResultValues": [
{
"GroupByAttributeValue": "arn:aws:s3:::int-arcsight-v-27-0-getreportstatus",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-arcsight-v-27-0-searchactionbug",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-arcsight-v-27-0-unicodeandlogs",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-automation-v-1-0",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-awss3-v-1-0",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-azureactivedirectory-v-4-0",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-bootcamp-v-1-0",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-categories",
"Count": 5
}
]
}
Messages de sortie
L'action Obtenir les détails de l'insight peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get Insight Details". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Get Insight Details (Obtenir les détails de l'insight) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Ping
Utilisez l'action Ping pour tester la connectivité à AWS Security Hub.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
Aucun
Sorties d'action
L'action Ping fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
L'action Ping peut renvoyer les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Failed to connect to the AWS Security Hub! Error is
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Ping :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Mettre à jour le résultat
Utilisez l'action Update Finding (Mettre à jour le résultat) pour mettre à jour les résultats dans AWS Security Hub.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Mettre à jour le résultat nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
ID |
Obligatoire ID du problème à mettre à jour. |
Product ARN |
Obligatoire ARN du produit de la découverte à mettre à jour. |
Note |
Optional Nouveau texte pour la note de résultat. Si vous configurez ce paramètre, configurez également le paramètre |
Note Author |
Optional l'auteur de la note. Si vous configurez ce paramètre, configurez également le paramètre |
Severity |
Optional Un nouveau niveau de gravité pour le résultat. Les valeurs possibles sont les suivantes :
|
Verification State |
Optional Nouvel état de validation du problème. Les valeurs possibles sont les suivantes :
|
Confidence |
Optional Un nouveau niveau de confiance pour le résultat. La valeur maximale est 100. |
Criticality |
Optional Nouvelle criticité du problème. La valeur maximale est 100. |
Types |
Optional Liste de types de résultats séparés par une virgule, tels que |
Workflow Status |
Optional Nouvel état du workflow pour le résultat. Les valeurs possibles sont les suivantes :
|
Custom Fields |
Optional Champs personnalisés du problème à mettre à jour, par exemple |
Sorties d'action
L'action Mettre à jour le résultat fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
L'action Mettre à jour le résultat peut renvoyer les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Update Findings". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Mettre à jour le résultat :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Mettre à jour un insight
Utilisez l'action Update Insight (Mettre à jour l'insight) pour mettre à jour un insight dans AWS Security Hub.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Update Insight nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Insight ARN |
Obligatoire ARN de l'insight. |
Insight Name |
Optional Nom de l'insight. |
Group By Attribute |
Optional Nom de l'attribut selon lequel regrouper les résultats. Cette action regroupe les résultats sous un même insight. La valeur par défaut est Les valeurs possibles sont les suivantes :
|
Filter JSON Object |
Optional Filtre à appliquer aux résultats. Le filtre est un objet JSON qui vous permet de spécifier différents attributs et valeurs. Pour en savoir plus sur la configuration du filtre, consultez la section Utiliser le paramètre "Objet JSON du filtre" de ce document. |
Sorties d'action
L'action Mettre à jour l'insight fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
L'action Update Insight (Mettre à jour l'insight) peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Update Insight". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Mettre à jour l'insight :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Connecteurs
Pour savoir comment configurer des connecteurs dans Google SecOps, consultez Ingérer vos données (connecteurs).
AWS Security Hub – Connecteur de résultats
Utilisez le connecteur AWS Security Hub – Résultats pour récupérer les résultats d'AWS Security Hub.
Le connecteur nécessite les paramètres suivants :
| Paramètres | Description |
|---|---|
Product Field Name |
Obligatoire
Nom du champ dans lequel le nom du produit est stocké. La valeur par défaut est |
Event Field Name |
Obligatoire
Nom du champ utilisé pour déterminer le nom (sous-type) de l'événement. La valeur par défaut est |
Environment Field Name |
Optional
Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut. La valeur par défaut est |
Environment Regex Pattern |
Optional
Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Utilisez la valeur par défaut Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est l'environnement par défaut. |
Script Timeout (Seconds) |
Obligatoire
Délai avant expiration du processus Python exécutant le script actuel. La valeur par défaut est 180. |
AWS Access Key ID |
Obligatoire
ID de clé d'accès AWS à utiliser dans l'intégration. |
AWS Secret Key |
Obligatoire Clé secrète AWS à utiliser dans l'intégration. |
AWS Default Region |
Obligatoire Région AWS par défaut à utiliser dans l'intégration, telle que |
Lowest Severity To Fetch |
Obligatoire
Niveau de gravité le plus faible des résultats à récupérer. Les valeurs possibles sont les suivantes :
Medium. |
Fetch Max Hours Backwards |
Optional Nombre d'heures avant la première itération du connecteur à partir desquelles récupérer les incidents. Ce paramètre ne s'applique qu'une seule fois à l'itération initiale du connecteur après l'avoir activé pour la première fois. La valeur par défaut est de 1 heure. |
Max Findings To Fetch |
Optional
Nombre de résultats à traiter lors d'une itération du connecteur. La valeur par défaut est 50. |
Use whitelist as a blacklist |
Obligatoire
Si cette option est sélectionnée, le connecteur utilise la liste dynamique comme liste de blocage. (non sélectionnée par défaut). |
Verify SSL |
Obligatoire
Si cette option est sélectionnée, Google SecOps vérifie que le certificat SSL pour la connexion au serveur AWS Security Hub est valide. Cette option est sélectionnée par défaut. |
Proxy Server Address |
Optional Adresse du serveur proxy à utiliser. |
Proxy Username |
Optional Nom d'utilisateur du proxy pour l'authentification. |
Proxy Password |
Optional Mot de passe du proxy pour l'authentification. |
Règles du connecteur
Le connecteur AWS Security Hub – Findings est compatible avec les proxys.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.