将 Amazon Macie 与 Google SecOps 集成
本文档介绍了如何将 Amazon Macie 与 Google Security Operations (Google SecOps) 集成。
集成版本:7.0
集成参数
使用以下参数配置集成:
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 实例名称 | 字符串 | 不适用 | 否 | 您打算为其配置集成的实例的名称。 |
| 说明 | 字符串 | 不适用 | 否 | 实例的说明。 |
| AWS 访问密钥 ID | 字符串 | 不适用 | 是 | 要在集成中使用的 AWS 访问密钥 ID。 |
| AWS 密钥 | 密码 | 不适用 | 是 | 要在集成中使用的 AWS 密钥。 |
| AWS 默认区域 | 字符串 | 不适用 | 是 | 集成中要使用的 AWS 默认区域,例如 us-west-1。 |
| 远程运行 | 复选框 | 尚未核查 | 否 | 选中相应复选框以远程运行配置的集成。选择后,系统会显示用于选择远程用户(客服人员)的选项。 |
如需了解如何在 Google SecOps 中配置集成,请参阅配置集成。
如有需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
操作
如需详细了解操作,请参阅 在工作台页面中处理待处理的操作和执行手动操作。
Ping
测试连接。
运行于
此操作不会在实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
案例墙
| 结果类型 | 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功: “Successfully connected to the Amazon Macie service with the provided connection parameters!” 操作应失败并停止 playbook 执行: 如果报告了严重错误(例如凭据错误或连接丢失): “无法连接到 Amazon Macie 服务!错误为 {0}".format(exception.stacktrace) |
常规 |
列出发现结果
根据指定的操作输入参数列出 Amazon Macie 检测结果。
参数
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 发现结果类型 | 字符串 | 不适用 | 否 | 要搜索的发现类型,例如 SensitiveData:S3Object/Credentials 或 SensitiveData:S3Object/Multiple。 参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 如果未指定任何内容,该操作会返回所有类型的发现结果。 |
| 严重程度 | 字符串 | 4 | 否 | 要搜索的发现结果严重程度 - 高、中或低。 参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 如果未指定任何内容,则无论严重程度如何,该操作都会返回所有发现结果。 |
| 是否包含已归档的发现结果? | 复选框 | 尚未核查 | 否 | 指定是否在结果中包含已归档的发现。 |
| 时间范围 | 整数 | 4 | 否 | 指定提取发现结果的时间范围(以小时为单位)。 |
| 记录限制 | 整数 | 20 | 否 | 指定操作可返回的记录数。 |
| 排序方式 | 字符串 | 不适用 | 否 | 指定用于对数据进行排序的参数。 示例:updatedAt |
| 排列顺序 | DDL | 升序 | 否 | 排序顺序。 |
使用场景
列出 Amazon Macie 发现结果,以查看有哪些发现结果。
运行于
此操作不会在实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 结果
{
"ResponseMetadata":{
"HTTPHeaders":{
"connection":"keep-alive",
"content-length":"2741",
"content-type":"application/json",
"date":"Thu, 22 Oct 2020 11:08:58 GMT",
"x-amz-apigw-id":"ID",
"x-amzn-remapped-content-length":"2741",
"x-amzn-remapped-date":"Thu, 22 Oct ""2020 11:08:57 ""GMT",
"x-amzn-remapped-x-amzn-requestid":"eaea00d2-11f8-40d8-adce-f6c9f17e9815",
"x-amzn-requestid":"4102349a-a5da-4bfc-ad78-40f48885985f"
},
"HTTPStatusCode":200,
"RequestId":"4102349a-a5da-4bfc-ad78-40f48885985f",
"RetryAttempts":0
},
"findings":[
{
"accountId":"ACCOUNT_ID",
"archived":false,
"category":"CLASSIFICATION",
"classificationDetails":{
"detailedResultsLocation":"s3://[export-config-not-set]/AWSLogs/ACCOUNT_ID/Macie/us-east-1/",
"jobArn":"arn:aws:macie2:us-east-1",
"jobId":"088009521d393eda440a24f3c7ad8fbd",
"result":{
"additionalOccurrences":false,
"customDataIdentifiers":{
"detections":[
],
"totalCount":0
},
"mimeType":"application/zip",
"sensitiveData":[
{
"category":"PERSONAL_INFORMATION",
"detections":[
{
"count":80,
"type":"PHONE_NUMBER"
},
{
"count":5,
"type":"ADDRESS"
},
{
"count":207,
"type":"NAME"
}
],
"totalCount":292
},
{
"category":"CREDENTIALS",
"detections":[
{
"count":5,
"type":"AWS_CREDENTIALS"
}
],
"totalCount":5
}
],
"sizeClassified":44213802,
"status":{
"code":"PARTIAL",
"reason":"ARCHIVE_CONTAINS_UNPROCESSED_FILES"
}
}
},
"count":1,
"createdAt":datetime.datetime(2020,
10,
22,
3,
12,
9,
364000,
"tzinfo=tzutc())",
"description":"The object contains more than one type of ""sensitive information.",
"id":"FINDING_ID",
"partition":"aws",
"region":"us-east-1",
"resourcesAffected":{
"s3Bucket":{
"arn":"arn:aws:s3:::testexample",
"createdAt":datetime.datetime(2020,
9,
14,
10,
31,
56,
"tzinfo=tzutc())",
"defaultServerSideEncryption":{
"encryptionType":"NONE"
},
"name":"testexample",
"owner":{
"displayName":"lab_aws",
"id":"OWNER_ID"
},
"publicAccess":{
"effectivePermission":"PUBLIC",
"permissionConfiguration":{
"accountLevelPermissions":{
"blockPublicAccess":{
"blockPublicAcls":false,
"blockPublicPolicy":false,
"ignorePublicAcls":false,
"restrictPublicBuckets":false
}
},
"bucketLevelPermissions":{
"accessControlList":{
"allowsPublicReadAccess":false,
"allowsPublicWriteAccess":false
},
"blockPublicAccess":{
"blockPublicAcls":false,
"blockPublicPolicy":false,
"ignorePublicAcls":false,
"restrictPublicBuckets":false
},
"bucketPolicy":{
"allowsPublicReadAccess":true,
"allowsPublicWriteAccess":false
}
}
}
},
"tags":[
]
},
"s3Object":{
"bucketArn":"arn:aws:s3:::testsiemplify",
"eTag":"8dfbe2ba101b3ca0a62f8fde823503b4-5",
"extension":"zip",
"key":"awscliv2.zip",
"lastModified":datetime.datetime(2020,
9,
28,
18,
47,
30,
"tzinfo=tzutc())",
"path":"testexample/awscliv2.zip",
"publicAccess":false,
"serverSideEncryption":{
"encryptionType":"NONE"
},
"size":33775890,
"storageClass":"STANDARD",
"tags":[
],
"versionId":""
}
},
"sample":false,
"schemaVersion":"1.0",
"severity":{
"description":"High",
"score":3
},
"title":"The S3 object contains multiple types of sensitive ""information.",
"type":"SensitiveData:S3Object/Multiple",
"updatedAt":datetime.datetime(2020,
10,
22,
3,
12,
9,
364000,
"tzinfo=tzutc())"
}
]
}
案例墙
| 结果类型 | 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功: “已找到 Amazon Macie 发现结果” 如果 is_success=False,例如未找到任何发现: “未返回任何发现。” 操作应失败并停止 playbook 执行: 如果报告了严重错误(例如凭据错误或连接丢失): “无法连接到 Amazon Macie 服务!错误为 {0}".format(exception.stacktrace) |
常规 |
| 表 | 表名称:Amazon Macie 发现结果 表格列:
|
常规 |
获取发现结果
根据指定的发现 ID 获取 Amazon Macie 发现结果。
参数
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 发现结果 ID | 字符串 | 不适用 | 是 | 要获取详细信息的发现结果 ID。 参数可以采用以英文逗号分隔的字符串形式接受多个值。 |
使用场景
在分析提醒时获取发现结果详情。在这种情况下,查找结果不会像从连接器中获取的那样“扁平”,并且查找数据可能更容易处理。
运行于
此操作不会在实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 结果
{
"Policy": {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AddPerm",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::testexample/*"
}
]
}
案例墙
| 结果类型 | 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功: “已找到 Amazon Macie 发现结果” 如果 is_success=False,例如未找到任何发现: “未返回任何发现。” 操作应失败并停止 playbook 执行: 如果报告了严重错误(例如凭据错误或连接丢失): “无法连接到 Amazon Macie 服务!错误为 {0}".format(exception.stacktrace) |
常规 |
| 表 | 表名称:Amazon Macie 发现结果 表格列: |
常规 |
创建自定义数据标识符
创建 Amazon Macie 自定义数据标识符。
参数
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 自定义数据标识符名称 | 字符串 | 不适用 | 是 | Amazon Macie 新自定义数据标识符名称。 |
| 自定义数据标识符说明 | 字符串 | 不适用 | 否 | Amazon Macie 新的自定义数据标识符说明。 |
| 自定义数据标识符正则表达式 | 字符串 | 不适用 | 是 | Amazon Macie 新的自定义数据标识符正则表达式。示例:I[a@]mAB[a@]dRequest |
| 自定义数据标识符关键字 | 字符串 | 不适用 | 否 | Amazon Macie 新的自定义数据标识符关键字。 |
| 自定义数据标识符忽略字词 | 字符串 | 不适用 | 否 | Amazon Macie 新的自定义数据标识符忽略字词。 |
| 自定义数据标识符最大匹配距离 | 整数 | 50 | 否 | Amazon Macie 新增了自定义数据标识符最大匹配距离。 |
使用场景
根据观测到的数据创建 Amazon Macie 自定义数据标识符,以便稍后在分类作业中使用新的自定义数据标识符。
运行于
此操作不会在实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 结果
{
"ResponseMetadata":{
"HTTPHeaders":{
"connection":"keep-alive",
"content-length":"65",
"content-type":"application/json",
"date":"Mon, 26 Oct 2020 05:15:07 GMT",
"x-amz-apigw-id":"ID",
"x-amzn-remapped-content-length":"65",
"x-amzn-remapped-date":"Mon, 26 Oct ""2020 05:15:07 ""GMT",
"x-amzn-remapped-x-amzn-requestid":"61217a30-189e-4573-9f76-257b7065a04d",
"x-amzn-requestid":"509e1c12-ab86-459e-9d6d-790a359686b2"
},
"HTTPStatusCode":200,
"RequestId":"509e1c12-ab86-459e-9d6d-790a359686b2",
"RetryAttempts":0
},
"customDataIdentifierId":"ff43487b-5643-4de1-b651-9ecbeb3021ed"
}
案例墙
| 结果类型 | 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功: “New Amazon Macie custom data identifier created: {0}".format(new identifier_id from response) 如果 is_success=False,例如未找到任何发现: “Failed to create Amazon Macie Identifier. 错误为:{0}".format(error from response) 操作应失败并停止 playbook 执行: 如果报告了严重错误(例如凭据错误或连接丢失): “无法连接到 Amazon Macie 服务!错误为 {0}".format(exception.stacktrace) |
常规 |
删除自定义数据标识符
删除 Amazon Macie 自定义数据标识符。
参数
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 自定义数据标识符 ID | 字符串 | 不适用 | 否 | 要删除的 Amazon Macie 自定义数据标识符 ID。 |
使用场景
删除 Amazon Macie 自定义数据标识符。
运行于
此操作不会在实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
案例墙
| 结果类型 | 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功: “Amazon Macie 自定义数据标识符 {0} 已删除”。format(自定义数据标识符 ID) 如果 is_success=False,例如未找到任何结果: “Failed to delete Amazon Macie Identifier {0}. 错误为:{1}".format(custom data identifier id, error from response) 操作应失败并停止 playbook 执行: 如果报告了严重错误(例如凭据错误或连接丢失): “无法连接到 Amazon Macie 服务!错误为 {0}".format(exception.stacktrace) |
常规 |
启用 Macie
启用 Amazon Macie 服务。
参数
不适用
使用场景
在服务窗口完成后启用 Amazon Macie。
运行于
此操作不会在实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
案例墙
| 结果类型 | 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功: “Successfully enabled Amazon Macie service”(已成功启用 Amazon Macie 服务) 如果 is_success=False: “未能启用 Amazon Macie 服务。错误为:{0}".format(error from response) 操作应失败并停止 playbook 执行: 如果系统报告了严重错误(例如凭据错误或连接丢失):“无法连接到 Amazon Macie 服务!错误为 {0}".format(exception.stacktrace) |
常规 |
停用 Macie
停用 Amazon Macie 服务。
使用场景
针对服务窗口停用 Amazon Macie - 以便对 AWS 存储分区进行一些更改,而不会导致大量误报。
运行于
此操作不会在实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
案例墙
| 结果类型 | 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功: “Successfully disabled Amazon Macie service”(已成功停用 Amazon Macie 服务) 如果 is_success=False: “未能停用 Amazon Macie 服务。错误为:{0}".format(error from response) 操作应失败并停止 playbook 执行: 如果报告了严重错误(例如凭据错误或连接丢失): “无法连接到 Amazon Macie 服务!错误为 {0}".format(exception.stacktrace) |
常规 |
连接器
如需详细了解如何在 Google SecOps 中配置连接器,请参阅注入数据(连接器)。
Amazon Macie - Findings 连接器
提取 Amazon Macie 发现结果。
连接器参数
使用以下参数配置连接器:
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | 不适用 | 是 |
存储商品名称的字段的名称。 商品名称主要会影响映射。为了简化和改进连接器的映射流程,默认值会解析为代码中引用的回退值。默认情况下,此参数的任何无效输入都会解析为回退值。 默认值为 |
| 事件字段名称 | 字符串 | 不适用 | 是 | 用于确定事件名称(子类型)的字段的名称。 |
| 环境字段名称 | 字符串 | 不适用 | 否 | 存储环境名称的字段的名称。 如果缺少环境字段,连接器将使用默认值。 |
Environment Regex Pattern |
字符串 | 不适用 | 否 |
要对 使用默认值 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
| 脚本超时(秒) | 整数 | 180 | 是 | 运行当前脚本的 Python 进程的超时时间限制(以秒为单位)。 |
| AWS 访问密钥 ID | 字符串 | 不适用 | 正确 | 要在集成中使用的 AWS 访问密钥 ID。 |
| AWS 密钥 | 密码 | 不适用 | 正确 | 要在集成中使用的 AWS 密钥。 |
| AWS 默认区域 | 字符串 | 不适用 | 正确 | 集成中要使用的 AWS 默认区域,例如 us-west-2。 |
| 要注入的发现结果严重程度 | 字符串 | 不适用 | 否 | 要注入的发现严重程度 - 参数接受多个值,这些值以英文逗号分隔的字符串形式表示。 如果未指定任何内容,连接器会注入所有发现结果,无论严重程度如何。 |
| 要提取的发现结果数上限 | 整数 | 50 | 否 | 每次连接器迭代要处理的发现结果数量。 |
| 提取回溯的小时数上限 | 整数 | 1 | 否 | 要检索的提醒的小时数(相对于当前时间)。 此参数可应用于您首次启用连接器后的初始连接器迭代,也可作为过期连接器时间戳的回退值。 |
Use whitelist as a blacklist |
复选框 | 尚未核查 | 是 | 如果选中此选项,连接器会将动态列表用作屏蔽列表。 |
| 代理服务器地址 | 字符串 | 不适用 | 否 | 要使用的代理服务器的地址。 |
| 代理用户名 | 字符串 | 不适用 | 否 | 用于进行身份验证的代理用户名。 |
| 代理密码 | 密码 | 不适用 | 否 | 用于进行身份验证的代理密码。 |
连接器规则
默认情况下,屏蔽列表处于停用状态。
连接器支持仅接收特定类型发现结果的动态列表。
连接器支持代理。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。