AWS IAM Access Analyzer
Integrationsversion: 6.0
Anwendungsbereiche
- Ergebnisse zur Untersuchung in Google Security Operations aufnehmen
- Aktive Aktionen – Statistiken aktualisieren, Ressourcen scannen
AWS IAM Access Analyzer-Integration in Google SecOps konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| AWS-Zugriffsschlüssel-ID | String | – | Ja | AWS-Zugriffsschlüssel-ID, die in der Integration verwendet werden soll. |
| AWS-Secret-Key | Passwort | – | Ja | Der geheime AWS-Schlüssel, der in der Integration verwendet werden soll. |
| Standardmäßige AWS-Region | String | – | Ja | Die standardmäßige AWS-Region, die in der Integration verwendet werden soll, z. B. „us-west-2“. |
| Analyzer-Name | String | – | Ja | Name des Analysetools, das in der Integration verwendet werden soll. |
Aktionen
Ping
Beschreibung
Testen Sie die Verbindung zu AWS IAM Access Analyzer mit den Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen: Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: |
Allgemein |
Ressourcen scannen
Beschreibung
Ressourcen mit AWS IAM Access Analyzer scannen
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Ressourcen-ARNs | CSV | – | Ja | Geben Sie eine durch Kommas getrennte Liste von Ressourcen-ARNs an, die gescannt werden müssen. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis
{"ResponseMetadata": {"HTTPHeaders": {"connection": "keep-alive",
"content-length": "178",
"content-type": "application/json",
"date": "Sun, 22 Nov 2020 09:22:03 GMT",
"x-amz-apigw-id": "WZwVQFICIAMFjnQ=",
"x-amzn-requestid": "c15d8ab2-afc7-4cb0-bea2-a47ebc649cb8",
"x-amzn-trace-id": "Root=1-5fba2dbb-042d89bb2964e4f635bd7843"},
"HTTPStatusCode": 200,
"RequestId": "c15d8ab2-afc7-4cb0-bea2-a47ebc649cb8",
"RetryAttempts": 0},
"resource": {"analyzedAt": datetime.datetime(2020, 11, 22, 9, 21, 50, 919000, tzinfo=tzutc()),
"isPublic": False,
"resourceArn": "arn:aws:s3:::asddsa",
"resourceOwnerAccount": "582302349248",
"resourceType": "AWS::S3::Bucket"}}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn mindestens ein Scan erfolgreich zurückgegeben wurde (is_success = true): print"Successfully scanned the following resources using AWS IAM Access Analyzer: \n".format(Resource IDs) Bei Fehler für mindestens eine Ressource (is_success = true): print"Die Aktion konnte die folgenden Ressourcen mit AWS IAM Access Analyzer nicht scannen: \n".format(Resource IDs) Wenn alle fehlgeschlagen sind (is_success = false): print"No resources were scanned." Asynchrone Nachricht: „Warten auf das Scannen der folgenden Ressourcen mit AWS IAM Access Analyzer: {0}“.format(unprocessed resources) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegendem Fehler, SDK-Fehler wie falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Fehler beim Ausführen der Aktion ‚Ressourcen scannen‘. Grund: {0}''.format(error.Stacktrace) Wenn Analyzer nicht gefunden wird:Gib „Fehler beim Ausführen der Aktion ‚Ressourcen scannen‘“ aus. Grund: Der Analysetyp „{0}“ wurde nicht gefunden.''.format(Analyzer Name). |
Allgemein |
Ergebnis archivieren
Ergebnis in AWS Security Hub archivieren.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Ergebnis-ID | String | – | Ja | Geben Sie die ID des Ergebnisses an, das Sie archivieren möchten. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn keine Fehler vom SDK gemeldet wurden (is_success = true): print"Successfully archived finding with ID '{0}' in AWS IAM Access Analyzer".format(Finding ID) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegendem Fehler oder SDK-Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, andere: „Fehler beim Ausführen der Aktion ‚Ergebnis archivieren‘. Grund: {0}''.format(error.Stacktrace) Wenn Analyzer nicht gefunden wird:Gib „Fehler beim Ausführen der Aktion ‚Archivieren von Ergebnis‘“ aus. Grund: Der Analysetyp „{0}“ wurde nicht gefunden.''.format(Analyzer Name). |
Allgemein |
Connector
AWS IAM Access Analyzer – Findings Connector
Beschreibung
Ergebnisse aus AWS IAM Access Analyzer abrufen
AWS IAM Access Analyzer – Findings Connector in Google SecOps konfigurieren
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | Produktname | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen. |
| Name des Ereignisfelds | String | resourceType | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen. |
| Name des Umgebungsfelds | String | "" | Nein | Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung. |
| Regex-Muster für Umgebung | String | .* | Nein | Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
| Zeitlimit für Script (Sekunden) | Ganzzahl | 180 | Ja | Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| AWS-Zugriffsschlüssel-ID | String | – | Wahr | AWS-Zugriffsschlüssel-ID, die in der Integration verwendet werden soll. |
| AWS-Secret-Key | Passwort | – | Wahr | Der geheime AWS-Schlüssel, der in der Integration verwendet werden soll. |
| Standardmäßige AWS-Region | String | – | Wahr | Die standardmäßige AWS-Region, die in der Integration verwendet werden soll, z. B. „us-west-2“. |
| Analyzer-Name | String | – | Wahr | Name des Analysetools, das in der Integration verwendet werden soll. |
| Schweregrad der Benachrichtigung | String | Mittel | Falsch | Schweregrad der Google SecOps-Benachrichtigungen, die über diesen Connector erstellt werden. Mögliche Werte: Kritisch, Hoch, Mittel,Niedrig,Informativ |
| Maximale Anzahl abzurufender Ergebnisse | Ganzzahl | 50 | Nein | Anzahl der Ergebnisse, die pro Connector-Iteration verarbeitet werden sollen. |
| Maximale Stunden zurück | Ganzzahl | 1 | Nein | Die Anzahl der Stunden, die zurückliegen, für die Ergebnisse abgerufen werden sollen. |
| Zulassungsliste als Sperrliste verwenden | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, wird die Zulassungsliste als Sperrliste verwendet. |
| SSL überprüfen | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum AWS IAM Access Analyzer-Server gültig ist. |
| Proxyserveradresse | String | – | Nein | Die Adresse des zu verwendenden Proxyservers. |
| Proxy-Nutzername | String | – | Nein | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | Passwort | – | Nein | Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Proxyunterstützung
Der Connector unterstützt Proxy.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten