Integra AWS Security Hub con Google SecOps
Questo documento spiega come integrare AWS Security Hub con Google Security Operations (Google SecOps).
Versione integrazione: 8.0
Casi d'uso
In Google SecOps, l'integrazione di AWS Security Hub può aiutarti a risolvere i seguenti casi d'uso:
Arricchimento automatico degli incidenti:utilizza le funzionalità di Google SecOps per recuperare automaticamente il contesto pertinente da altri servizi AWS come i log di flusso VPC, i risultati di GuardDuty e i log CloudTrail quando viene rilevato un potenziale evento di sicurezza in Security Hub. L'arricchimento automatico degli eventi può aiutare gli analisti a comprendere rapidamente l'ambito e il potenziale impatto dell'evento.
Correzione con priorità:utilizza le funzionalità di Google SecOps per attivare risposte automatiche ai risultati di Security Hub in base a playbook predefiniti. Ad esempio, un risultato di gravità elevata relativo a un bucket S3 esposto può attivare automaticamente un playbook per correggere la configurazione errata e inviare una notifica ai team appropriati.
Integrazione dell'intelligence sulle minacce:utilizza le funzionalità di Google SecOps per l'integrazione con i feed di intelligence sulle minacce e confronta i risultati di Security Hub con indicatori dannosi noti. L'integrazione delle informazioni sulle minacce consente agli analisti di identificare e dare la priorità alle minacce ad alto rischio che richiedono attenzione immediata.
Report e audit di conformità:utilizza le funzionalità di Google SecOps per aggregare e normalizzare i dati di sicurezza di Security Hub e di altre origini per semplificare i report di conformità.
Gestione delle vulnerabilità:utilizza le funzionalità di Google SecOps per automatizzare il processo di valutazione, definizione delle priorità e correzione delle vulnerabilità integrandosi con le funzionalità di analisi delle vulnerabilità di AWS Security Hub. La gestione delle vulnerabilità può aiutarti a ridurre la superficie di attacco e a migliorare la security posture complessiva della tua organizzazione.
Prima di iniziare
Affinché l'integrazione funzioni correttamente, devi configurare una policy di identità e accesso personalizzata in AWS.
Per saperne di più sulla creazione di policy personalizzate in AWS, consulta Creazione di policy utilizzando l'editor JSON nella documentazione di AWS.
Per configurare le autorizzazioni necessarie per l'integrazione di AWS Security Hub e impostare la policy personalizzata, utilizza il seguente codice:
{
"Sid": "SecurityHubServiceRolePermissions",
"Effect": "Allow",
"Action": [
"securityhub:GetMasterAccount",
"securityhub:GetInsightResults",
"securityhub:CreateInsight",
"securityhub:UpdateInsight",
"securityhub:BatchUpdateFindings",
"securityhub:GetFindings",
"securityhub:GetInsight",
"securityhub:DescribeHub",
],
"Resource": "*"
}
Per ulteriori informazioni sulla configurazione delle autorizzazioni, consulta Policy gestita da AWS:
AWSSecurityHubServiceRolePolicy
nella documentazione di AWS.
Parametri di integrazione
L'integrazione di AWS Security Hub richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
AWS Access Key ID |
Obbligatorio
L'ID chiave di accesso AWS da utilizzare nell'integrazione. |
AWS Secret Key |
Obbligatorio La chiave segreta AWS da utilizzare nell'integrazione. |
AWS Default Region |
Obbligatorio La regione AWS predefinita da utilizzare nell'integrazione,
ad esempio |
Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato le istanze, puoi utilizzarle nei playbook. Per saperne di più sulla configurazione e sul supporto di più istanze, consulta Supporto di più istanze.
Per istruzioni su come configurare un'integrazione in Google SecOps, consulta la sezione Configurare le integrazioni.
Utilizzare il parametro Filtra oggetto JSON
Per le azioni Crea insight e Aggiorna insight, puoi configurare i filtri per i risultati.
Per creare un approfondimento in AWS Security Hub, applica filtri per i risultati disponibili nel sistema.
La struttura del filtro con tutte le configurazioni possibili è la seguente:
{
"ProductArn": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"AwsAccountId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Id": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"GeneratorId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Type": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"FirstObservedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"LastObservedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"CreatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"UpdatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"SeverityProduct": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"SeverityNormalized": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"SeverityLabel": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Confidence": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"Criticality": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"Title": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Description": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"RecommendationText": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"SourceUrl": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ProductFields": [
{
"Key": "string",
"Value": "string",
"Comparison": "EQUALS"|"NOT_EQUALS"
}
],
"ProductName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"CompanyName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"UserDefinedFields": [
{
"Key": "string",
"Value": "string",
"Comparison": "EQUALS"|"NOT_EQUALS"
}
],
"MalwareName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"MalwareType": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"MalwarePath": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"MalwareState": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkDirection": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkProtocol": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkSourceIpV4": [
{
"Cidr": "string"
}
],
"NetworkSourceIpV6": [
{
"Cidr": "string"
}
],
"NetworkSourcePort": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"NetworkSourceDomain": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkSourceMac": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkDestinationIpV4": [
{
"Cidr": "string"
}
],
"NetworkDestinationIpV6": [
{
"Cidr": "string"
}
],
"NetworkDestinationPort": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"NetworkDestinationDomain": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ProcessName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ProcessPath": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ProcessPid": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"ProcessParentPid": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"ProcessLaunchedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ProcessTerminatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ThreatIntelIndicatorType": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ThreatIntelIndicatorValue": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ThreatIntelIndicatorCategory": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ThreatIntelIndicatorLastObservedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ThreatIntelIndicatorSource": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ThreatIntelIndicatorSourceUrl": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceType": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourcePartition": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceRegion": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceTags": [
{
"Key": "string",
"Value": "string",
"Comparison": "EQUALS"|"NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceType": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceImageId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceIpV4Addresses": [
{
"Cidr": "string"
}
],
"ResourceAwsEc2InstanceIpV6Addresses": [
{
"Cidr": "string"
}
],
"ResourceAwsEc2InstanceKeyName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceIamInstanceProfileArn": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceVpcId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceSubnetId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceLaunchedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ResourceAwsS3BucketOwnerId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsS3BucketOwnerName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsIamAccessKeyUserName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsIamAccessKeyStatus": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsIamAccessKeyCreatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ResourceContainerName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceContainerImageId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceContainerImageName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceContainerLaunchedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ResourceDetailsOther": [
{
"Key": "string",
"Value": "string",
"Comparison": "EQUALS"|"NOT_EQUALS"
}
],
"ComplianceStatus": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"VerificationState": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"WorkflowState": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"WorkflowStatus": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"RecordState": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"RelatedFindingsProductArn": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"RelatedFindingsId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NoteText": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NoteUpdatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"NoteUpdatedBy": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Keyword": [
{
"Value": "string"
}
]
}
Di seguito è riportato un esempio di filtro che restituisce solo i risultati con gravità critica:
{
"SeverityLabel": [
{
"Value": "CRITICAL",
"Comparison": "EQUALS"
}
]
}
Azioni
Per funzionare correttamente, le azioni di AWS Security Hub richiedono la configurazione di autorizzazioni specifiche. Per ulteriori informazioni sulle autorizzazioni per l'integrazione, consulta la sezione Prima di iniziare di questo documento.
Crea approfondimento
Utilizza l'azione Crea insight per creare un insight in AWS Security Hub.
Input azione
L'azione Crea insight richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Insight Name |
Obbligatorio Il nome dell'approfondimento. |
Group By Attribute |
Obbligatorio Il nome dell'attributo in base al quale raggruppare i risultati. L'azione raggruppa i risultati in un unico approfondimento. Il valore predefinito è I valori possibili sono:
|
Filter JSON Object |
Obbligatorio Un filtro da applicare ai risultati. Il filtro è un oggetto JSON che ti consente di specificare attributi e valori diversi. Per ulteriori dettagli sulla configurazione del filtro, consulta la sezione Utilizzare il parametro dell'oggetto JSON del filtro di questo documento. |
Output dell'azione
L'azione Crea approfondimento fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Create Insight:
{
"InsightArn": "arn:aws:securityhub:ID",
}
Messaggi di output
L'azione Crea insight può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Create Insight". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Crea insight:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Visualizzare i dettagli dell'insight
Utilizza l'azione Ottieni dettagli approfondimento per restituire informazioni dettagliate sugli approfondimenti in AWS Security Hub.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Visualizza dettagli approfondimento richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Insight ARN |
Obbligatorio L'Amazon Resource Name (ARN) dell'approfondimento. |
Max Results To Return |
Obbligatorio Il numero di risultati da restituire. Il valore predefinito è 50. |
Output dell'azione
L'azione Ottieni dettagli approfondimento fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Tabella della bacheca casi
L'azione Ottieni dettagli approfonditi può restituire la seguente tabella in Google SecOps:
Nome tabella: 'NUMBER_OF_OBJECTS' Bucket Objects
Colonne:
- Nome (mappato come
GroupByAttributeValue) - Conteggio (mappato come
Count)
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Ottieni dettagli approfondimento:
"InsightResults": {
"InsightArn": "arn:aws:securityhub:ID",
"GroupByAttribute": "ResourceId",
"ResultValues": [
{
"GroupByAttributeValue": "arn:aws:s3:::int-arcsight-v-27-0-getreportstatus",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-arcsight-v-27-0-searchactionbug",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-arcsight-v-27-0-unicodeandlogs",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-automation-v-1-0",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-awss3-v-1-0",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-azureactivedirectory-v-4-0",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-bootcamp-v-1-0",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-categories",
"Count": 5
}
]
}
Messaggi di output
L'azione Recupera dettagli approfondimento può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Get Insight Details". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ottieni dettagli approfonditi:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Dindin
Utilizza l'azione Ping per testare la connettività ad AWS Security Hub.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
Nessuno.
Output dell'azione
L'azione Ping fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
L'azione Ping può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Failed to connect to the AWS Security Hub! Error is
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ping:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Aggiorna esito
Utilizza l'azione Aggiorna risultato per aggiornare i risultati in AWS Security Hub.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Aggiorna risultato richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
ID |
Obbligatorio L'ID del problema da aggiornare. |
Product ARN |
Obbligatorio L'ARN del prodotto del risultato da aggiornare. |
Note |
Optional Un nuovo testo per la nota del risultato. Se
configuri questo parametro, configura anche il parametro |
Note Author |
Optional l'autore della nota. Se
configuri questo parametro, configura anche il parametro |
Severity |
Optional Una nuova gravità per il risultato. I valori possibili sono:
|
Verification State |
Optional Un nuovo stato di verifica per il risultato. I valori possibili sono:
|
Confidence |
Optional Un nuovo livello di confidenza per il risultato. Il valore massimo è 100. |
Criticality |
Optional Una nuova criticità per il risultato. Il valore massimo è 100. |
Types |
Optional Un elenco separato da virgole di tipi per il risultato,
ad esempio |
Workflow Status |
Optional Un nuovo stato del flusso di lavoro per il risultato. I valori possibili sono:
|
Custom Fields |
Optional I campi personalizzati del risultato da aggiornare, ad esempio
|
Output dell'azione
L'azione Aggiorna risultato fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
L'azione Aggiorna risultato può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Update Findings". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Aggiorna risultato:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Aggiornamento dell'insight
Utilizza l'azione Aggiorna insight per aggiornare un insight in AWS Security Hub.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Aggiorna insight richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Insight ARN |
Obbligatorio L'ARN dell'insight. |
Insight Name |
Optional Il nome dell'approfondimento. |
Group By Attribute |
Optional Il nome dell'attributo in base al quale raggruppare i risultati. L'azione raggruppa i risultati in un unico approfondimento. Il valore predefinito è I valori possibili sono:
|
Filter JSON Object |
Optional Un filtro da applicare ai risultati. Il filtro è un oggetto JSON che ti consente di specificare attributi e valori diversi. Per ulteriori dettagli sulla configurazione del filtro, consulta la sezione Utilizzare il parametro dell'oggetto JSON del filtro di questo documento. |
Output dell'azione
L'azione Aggiorna approfondimento fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
L'azione Aggiorna insight può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Update Insight". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Aggiorna approfondimento:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Connettori
Per saperne di più su come configurare i connettori in Google SecOps, consulta Importare i dati (connettori).
AWS Security Hub - Findings Connector
Utilizza il connettore AWS Security Hub - Findings per recuperare i risultati da AWS Security Hub.
Il connettore richiede i seguenti parametri:
| Parametri | Descrizione |
|---|---|
Product Field Name |
Obbligatorio
Il nome del campo in cui è memorizzato il nome del prodotto. Il valore predefinito è |
Event Field Name |
Obbligatorio
Il nome del campo utilizzato per determinare il nome dell'evento (sottotipo). Il valore predefinito è |
Environment Field Name |
Optional
Il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito. Il valore predefinito è |
Environment Regex Pattern |
Optional
Un pattern di espressione regolare da eseguire sul valore trovato nel campo
Utilizza il valore predefinito Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, l'ambiente finale è quello predefinito. |
Script Timeout (Seconds) |
Obbligatorio
Il limite di timeout per il processo Python che esegue lo script corrente. Il valore predefinito è 180. |
AWS Access Key ID |
Obbligatorio
L'ID chiave di accesso AWS da utilizzare nell'integrazione. |
AWS Secret Key |
Obbligatorio La chiave segreta AWS da utilizzare nell'integrazione. |
AWS Default Region |
Obbligatorio La regione AWS predefinita da utilizzare nell'integrazione,
ad esempio |
Lowest Severity To Fetch |
Obbligatorio
La gravità minima dei risultati da recuperare. I valori possibili sono i seguenti:
Medium. |
Fetch Max Hours Backwards |
Optional Il numero di ore prima della prima iterazione del connettore da cui recuperare gli incidenti. Questo parametro viene applicato una sola volta all'iterazione iniziale del connettore dopo averlo attivato per la prima volta. Il valore predefinito è 1 ora. |
Max Findings To Fetch |
Optional
Il numero di risultati da elaborare in un'iterazione del connettore. Il valore predefinito è 50. |
Use whitelist as a blacklist |
Obbligatorio
Se selezionato, il connettore utilizza l'elenco dinamico come blocklist. Non selezionato per impostazione predefinita. |
Verify SSL |
Obbligatorio
Se selezionata, Google SecOps verifica che il certificato SSL per la connessione al server AWS Security Hub sia valido. Questa opzione è selezionata per impostazione predefinita. |
Proxy Server Address |
Optional L'indirizzo del server proxy da utilizzare. |
Proxy Username |
Optional Il nome utente del proxy con cui eseguire l'autenticazione. |
Proxy Password |
Optional La password del proxy per l'autenticazione. |
Regole del connettore
Il connettore di AWS Security Hub per i risultati supporta i proxy.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.