AWS Security Hub を Google SecOps と統合する
このドキュメントでは、AWS Security Hub を Google Security Operations(Google SecOps)と統合する方法について説明します。
統合バージョン: 8.0
ユースケース
Google SecOps では、AWS Security Hub の統合により、次のユースケースを解決できます。
インシデントの自動拡充: Security Hub で潜在的なセキュリティ イベントが検出されたときに、Google SecOps の機能を使用して、VPC Flow Logs、GuardDuty の結果、CloudTrail ログなどの他の AWS サービスから関連するコンテキストを自動的に取得します。インシデントの自動拡充により、アナリストはインシデントの範囲と潜在的な影響を迅速に把握できます。
優先順位付けされた修復: Google SecOps の機能を使用して、事前定義されたハンドブックに基づいて Security Hub の検出結果に対する自動応答をトリガーします。たとえば、公開された S3 バケットに関連する重大度の高い検出結果は、構成ミスを修復して適切なチームに通知するハンドブックを自動的にトリガーできます。
脅威インテリジェンスの統合: Google SecOps の機能を使用して、脅威インテリジェンス フィードと統合し、Security Hub の検出結果を既知の悪意のあるインジケーターと相互参照します。脅威インテリジェンスの統合により、アナリストは直ちに対応が必要なリスクの高い脅威を特定して優先順位を付けることができます。
コンプライアンス レポートと監査: Google SecOps の機能を使用して、Security Hub や他のソースからセキュリティ データを集約して正規化し、コンプライアンス レポートを簡素化します。
脆弱性管理: Google SecOps の機能を使用して、AWS Security Hub の脆弱性スキャン機能と統合し、脆弱性のトリアージ、優先順位付け、修復のプロセスを自動化します。脆弱性管理は、攻撃対象領域を縮小し、組織の全体的なセキュリティ対策を改善するのに役立ちます。
始める前に
統合が適切に機能するには、AWS でカスタム ID とアクセス ポリシーを構成する必要があります。
AWS でカスタム ポリシーを作成する方法については、AWS ドキュメントの JSON エディタを使用してポリシーを作成するをご覧ください。
AWS Security Hub の統合に必要な権限を構成し、カスタム ポリシーを設定するには、次のコードを使用します。
{
"Sid": "SecurityHubServiceRolePermissions",
"Effect": "Allow",
"Action": [
"securityhub:GetMasterAccount",
"securityhub:GetInsightResults",
"securityhub:CreateInsight",
"securityhub:UpdateInsight",
"securityhub:BatchUpdateFindings",
"securityhub:GetFindings",
"securityhub:GetInsight",
"securityhub:DescribeHub",
],
"Resource": "*"
}
権限の構成の詳細については、AWS ドキュメントの AWS マネージド ポリシー: AWSSecurityHubServiceRolePolicy をご覧ください。
統合のパラメータ
AWS Security Hub の統合には、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
AWS Access Key ID |
必須
統合で使用する AWS アクセスキー ID。 |
AWS Secret Key |
必須 統合で使用する AWS 秘密鍵。 |
AWS Default Region |
必須 統合で使用する AWS のデフォルト リージョン( |
必要に応じて、後の段階で変更できます。インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの詳細については、複数のインスタンスのサポートをご覧ください。
Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。
JSON オブジェクトのフィルタ パラメータを使用する
インサイトの作成アクションとインサイトの更新アクションでは、検出結果のフィルタを構成できます。
AWS Security Hub で分析情報を生成するには、システムで使用可能な検出結果にフィルタを適用します。
すべての構成が可能なフィルタの構造は次のとおりです。
{
"ProductArn": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"AwsAccountId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Id": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"GeneratorId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Type": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"FirstObservedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"LastObservedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"CreatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"UpdatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"SeverityProduct": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"SeverityNormalized": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"SeverityLabel": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Confidence": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"Criticality": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"Title": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Description": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"RecommendationText": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"SourceUrl": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ProductFields": [
{
"Key": "string",
"Value": "string",
"Comparison": "EQUALS"|"NOT_EQUALS"
}
],
"ProductName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"CompanyName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"UserDefinedFields": [
{
"Key": "string",
"Value": "string",
"Comparison": "EQUALS"|"NOT_EQUALS"
}
],
"MalwareName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"MalwareType": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"MalwarePath": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"MalwareState": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkDirection": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkProtocol": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkSourceIpV4": [
{
"Cidr": "string"
}
],
"NetworkSourceIpV6": [
{
"Cidr": "string"
}
],
"NetworkSourcePort": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"NetworkSourceDomain": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkSourceMac": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NetworkDestinationIpV4": [
{
"Cidr": "string"
}
],
"NetworkDestinationIpV6": [
{
"Cidr": "string"
}
],
"NetworkDestinationPort": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"NetworkDestinationDomain": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ProcessName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ProcessPath": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ProcessPid": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"ProcessParentPid": [
{
"Gte": 123.0,
"Lte": 123.0,
"Eq": 123.0
}
],
"ProcessLaunchedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ProcessTerminatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ThreatIntelIndicatorType": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ThreatIntelIndicatorValue": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ThreatIntelIndicatorCategory": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ThreatIntelIndicatorLastObservedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ThreatIntelIndicatorSource": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ThreatIntelIndicatorSourceUrl": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceType": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourcePartition": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceRegion": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceTags": [
{
"Key": "string",
"Value": "string",
"Comparison": "EQUALS"|"NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceType": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceImageId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceIpV4Addresses": [
{
"Cidr": "string"
}
],
"ResourceAwsEc2InstanceIpV6Addresses": [
{
"Cidr": "string"
}
],
"ResourceAwsEc2InstanceKeyName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceIamInstanceProfileArn": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceVpcId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceSubnetId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsEc2InstanceLaunchedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ResourceAwsS3BucketOwnerId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsS3BucketOwnerName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsIamAccessKeyUserName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsIamAccessKeyStatus": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceAwsIamAccessKeyCreatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ResourceContainerName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceContainerImageId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceContainerImageName": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"ResourceContainerLaunchedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"ResourceDetailsOther": [
{
"Key": "string",
"Value": "string",
"Comparison": "EQUALS"|"NOT_EQUALS"
}
],
"ComplianceStatus": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"VerificationState": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"WorkflowState": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"WorkflowStatus": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"RecordState": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"RelatedFindingsProductArn": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"RelatedFindingsId": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NoteText": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"NoteUpdatedAt": [
{
"Start": "string",
"End": "string",
"DateRange": {
"Value": 123,
"Unit": "DAYS"
}
}
],
"NoteUpdatedBy": [
{
"Value": "string",
"Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
}
],
"Keyword": [
{
"Value": "string"
}
]
}
重大度が「重大」の検出結果のみを返すフィルタの例は次のとおりです。
{
"SeverityLabel": [
{
"Value": "CRITICAL",
"Comparison": "EQUALS"
}
]
}
操作
AWS Security Hub アクションが正しく機能するには、特定の権限を構成する必要があります。統合の権限の詳細については、このドキュメントの始める前にのセクションをご覧ください。
インサイトの作成
[Create Insight] アクションを使用して、AWS Security Hub に分析情報を生成します。
アクション入力
[分析情報を作成] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Insight Name |
必須 分析情報の名前。 |
Group By Attribute |
必須 検出結果をグループ化する属性の名前。このアクションにより、検出結果が 1 つの分析情報にグループ化されます。 デフォルト値は 値は次のいずれかになります。
|
Filter JSON Object |
必須 検出結果に適用するフィルタ。フィルタは、さまざまな属性と値を指定できる JSON オブジェクトです。フィルタ構成の詳細については、このドキュメントの JSON オブジェクトのフィルタ パラメータの使用方法セクションをご覧ください。 |
アクションの出力
[分析情報を作成] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、分析情報を作成アクションを使用したときに受信した JSON 結果の出力を示しています。
{
"InsightArn": "arn:aws:securityhub:ID",
}
出力メッセージ
分析情報を作成アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Create Insight". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Create Insight アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
分析情報の詳細の取得
分析情報の詳細を取得アクションを使用して、AWS Security Hub の分析情報に関する詳細情報を返します。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
[Get Insight Details] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Insight ARN |
必須 分析情報の Amazon Resource Name(ARN)。 |
Max Results To Return |
必須 返す結果の数。 デフォルト値は 50 です。 |
アクションの出力
[分析情報の詳細を取得] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用可能 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
ケースウォール テーブル
[Get Insight Details] アクションは、Google SecOps で次のテーブルを返すことができます。
テーブル名: 「NUMBER_OF_OBJECTS」バケット オブジェクト
列:
- 名前(
GroupByAttributeValueとしてマッピング) - カウント(
Countとしてマッピング)
JSON の結果
次の例は、分析情報の詳細を取得アクションを使用したときに受信した JSON 結果の出力を示しています。
"InsightResults": {
"InsightArn": "arn:aws:securityhub:ID",
"GroupByAttribute": "ResourceId",
"ResultValues": [
{
"GroupByAttributeValue": "arn:aws:s3:::int-arcsight-v-27-0-getreportstatus",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-arcsight-v-27-0-searchactionbug",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-arcsight-v-27-0-unicodeandlogs",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-automation-v-1-0",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-awss3-v-1-0",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-azureactivedirectory-v-4-0",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-bootcamp-v-1-0",
"Count": 5
},
{
"GroupByAttributeValue": "arn:aws:s3:::int-categories",
"Count": 5
}
]
}
出力メッセージ
[Get Insight Details] アクションは、次の出力メッセージを返すことがあります。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Get Insight Details". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Get Insight Details アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
Ping
Ping アクションを使用して、AWS Security Hub への接続をテストします。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
なし
アクションの出力
[Ping] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
出力メッセージ
Ping アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Failed to connect to the AWS Security Hub! Error is
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
検出の更新
検出結果の更新アクションを使用して、AWS Security Hub の検出結果を更新します。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
検出結果の更新アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
ID |
必須 更新する検出結果の ID。 |
Product ARN |
必須 更新する検出のプロダクト ARN。 |
Note |
Optional 検出結果のメモの新しいテキスト。 このパラメータを構成する場合は、 |
Note Author |
Optional メモの作成者。 このパラメータを構成する場合は、 |
Severity |
Optional 検出結果の新しい重大度。 値は次のいずれかになります。
|
Verification State |
Optional 検出結果の新しい検証状態。 値は次のいずれかになります。
|
Confidence |
Optional 検出結果の新しい信頼度。 最大値は 100 です。 |
Criticality |
Optional 検出結果の新しい重大度。 最大値は 100 です。 |
Types |
Optional
|
Workflow Status |
Optional 検出の新しいワークフロー ステータス。 値は次のいずれかになります。
|
Custom Fields |
Optional 更新する検出結果のカスタム フィールド( |
アクションの出力
[Update Finding] アクションは次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
出力メッセージ
[Update Finding] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Update Findings". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、検出結果を更新アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
分析情報を更新する
分析情報を更新アクションを使用して、AWS Security Hub の分析情報を更新します。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
分析情報を更新アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Insight ARN |
必須 分析情報の ARN。 |
Insight Name |
Optional 分析情報の名前。 |
Group By Attribute |
Optional 検出結果をグループ化する属性の名前。このアクションにより、検出結果が 1 つの分析情報にグループ化されます。 デフォルト値は 値は次のいずれかになります。
|
Filter JSON Object |
Optional 検出結果に適用するフィルタ。フィルタは、さまざまな属性と値を指定できる JSON オブジェクトです。フィルタ構成の詳細については、このドキュメントの JSON オブジェクトのフィルタ パラメータの使用方法セクションをご覧ください。 |
アクションの出力
[分析情報を更新] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
出力メッセージ
分析情報を更新アクションは、次の出力メッセージを返すことがあります。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Update Insight". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Update Insight アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
コネクタ
Google SecOps でコネクタを構成する方法については、データを取り込む(コネクタ)をご覧ください。
AWS Security Hub - 検出結果コネクタ
AWS Security Hub - 検出結果コネクタを使用して、AWS Security Hub から検出結果を取得します。
コネクタには次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Product Field Name |
必須
商品名が保存されるフィールドの名前。 デフォルト値は |
Event Field Name |
必須
イベント名(サブタイプ)を特定するために使用されるフィールド名。 デフォルト値は |
Environment Field Name |
省略可 環境名が保存されるフィールドの名前。 環境フィールドがない場合、その環境がデフォルトの環境です。 デフォルト値は |
Environment Regex Pattern |
省略可
デフォルト値 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
Script Timeout (Seconds) |
必須
現在のスクリプトを実行している Python プロセスのタイムアウト上限。 デフォルト値は 180 です。 |
AWS Access Key ID |
必須
統合で使用する AWS アクセスキー ID。 |
AWS Secret Key |
必須 統合で使用する AWS 秘密鍵。 |
AWS Default Region |
必須 統合で使用する AWS のデフォルト リージョン( |
Lowest Severity To Fetch |
必須
取得する検出結果の最も低い重大度。 使用できる値は次のとおりです。
Medium です。 |
Fetch Max Hours Backwards |
Optional 最初のコネクタ イテレーションの前にインシデントを取得する時間数。このパラメータは、コネクタを初めて有効にした後の最初のコネクタ イテレーションに 1 回だけ適用されます。 デフォルト値は 1 時間です。 |
Max Findings To Fetch |
省略可 1 回のコネクタのイテレーションで処理する検出結果の数。 デフォルト値は 50 です。 |
Use whitelist as a blacklist |
必須
選択すると、コネクタは動的リストを拒否リストとして使用します。 デフォルトでは選択されていません。 |
Verify SSL |
必須
選択すると、Google SecOps は AWS Security Hub サーバーへの接続用の SSL 証明書が有効であることを確認します。 デフォルトで選択されています。 |
Proxy Server Address |
Optional 使用するプロキシ サーバーのアドレス。 |
Proxy Username |
Optional 認証に使用するプロキシのユーザー名。 |
Proxy Password |
Optional 認証に使用するプロキシ パスワード。 |
コネクタルール
AWS Security Hub - 検出結果コネクタはプロキシをサポートしています。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。